KR101437026B1 - Revocable security system and method for wireless access points - Google Patents

Revocable security system and method for wireless access points Download PDF

Info

Publication number
KR101437026B1
KR101437026B1 KR1020120098075A KR20120098075A KR101437026B1 KR 101437026 B1 KR101437026 B1 KR 101437026B1 KR 1020120098075 A KR1020120098075 A KR 1020120098075A KR 20120098075 A KR20120098075 A KR 20120098075A KR 101437026 B1 KR101437026 B1 KR 101437026B1
Authority
KR
South Korea
Prior art keywords
client
logic
key
access point
wireless
Prior art date
Application number
KR1020120098075A
Other languages
Korean (ko)
Other versions
KR20130079120A (en
Inventor
스코트 윌킨슨
야산타 라자카루나나야키
Original Assignee
브로드콤 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to US13/334,615 priority Critical patent/US20130166910A1/en
Priority to US13/334,615 priority
Application filed by 브로드콤 코포레이션 filed Critical 브로드콤 코포레이션
Publication of KR20130079120A publication Critical patent/KR20130079120A/en
Application granted granted Critical
Publication of KR101437026B1 publication Critical patent/KR101437026B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communication
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communication including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communication
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Abstract

무선 액세스 포인트의 다양한 실시예들이 개시되었다. 실시예들은 무선 네트워크와 연관된 마스터 사전-공유 키를 수립하는 것, 클라이언트 장치와 상기 무선 네트워크의 연결을 수립하기 위한 요청을 얻는 것 그리고 상기 사전-공유 키와 다른 상기 클라이언트 장치를 위한 해제 가능한 키를 생성하는 것을 포함할 수 있다. Various embodiments of wireless access points have been disclosed. Embodiments include establishing a master pre-shared key associated with a wireless network, obtaining a request to establish a connection between the client device and the wireless network, and obtaining a pre-shared key and a releasable key for the other client device Lt; / RTI >

Description

무선 액세스 포인트를 위한 해제 가능한 보안 시스템 및 방법 {REVOCABLE SECURITY SYSTEM AND METHOD FOR WIRELESS ACCESS POINTS}BACKGROUND OF THE INVENTION 1. Field of the Invention [0001] The present invention relates generally to wireless access points,
본 발명은 클라이언트 장치들에게 무선 네트워크에 대한 임시 또는 해제 가능한 액세스를 승인하는 것을 용이하게 하는 시스템 및 방법에 관한 것이다. The present invention is directed to a system and method that facilitates granting temporary or releasable access to a wireless network to client devices.
홈네트워크를 위한 많은 종류의 기술들이 존재한다. 예를 들어, 하나 이상의 전기전자 기술자 협회(IEEE) 802.11 무선 근거리 통신 표준들을 사용하는 무선 액세스 포인트들이 다양한 클라이언트 장치들이 액세스 포인트가 결합된 원거리통신망 또는 다른 근거리통신망에 액세스하는 것을 용이하게 하기 위하여 여러 가정 그리고/또는 기업 환경에서 자주 이용된다. 추가적으로, 그러한 무선 액세스 포인트에 의해 용이하게 된 무선 네트워크는 클라이언트 장치와 액세스 포인트 간의 통신을 암호화하는 암호화 기술을 사용할 수 있다. 가정 환경에 자주 사용되는 암호화 기술들은 사전-공유 키(PSK)의 이용을 수반하는데, 이 사전-공유 키로부터 장치 특유 및 패킷 특유의 키들이 도출된다. 가정 사용자들은 예를 들어, 다른 사용자들, 방문자들, 친구들 등에게 속하는 추가적인 장치들에게 액세스를 허락해주기를 원할 수 있다. There are many kinds of technologies for home networks. For example, wireless access points using one or more of the Institute of Electrical and Electronics Engineers (IEEE) 802.11 wireless local-area communication standards may be used by various client devices to facilitate accessing a remote or other local- And / or are often used in a corporate environment. Additionally, a wireless network facilitated by such a wireless access point may use an encryption technique to encrypt communications between the client device and the access point. Encryption techniques frequently used in home environments involve the use of a pre-shared key (PSK) from which device-specific and packet-specific keys are derived. Home users may want to allow access to additional devices belonging to, for example, other users, visitors, friends, and the like.
이것은 다른 사용자들과 PSK 또는 PSK로부터 도출된 키를 공유함으로써 달성될 수 있는데, 이는 암호화된 패킷들이 클라이언트 장치와 액세스 포인트 간에 교환될 수 있도록 사용자의 장치에 설치되거나 캐쉬에 저장(cache)될 수 있다. 따라서, 이것은 클라이언트 장치에게 무선 네트워크에 대한 제2계층 액세스를 허락하는 것으로 생각할 수 있다. 그러나, 이와 같은 방법으로 방문자의 소유일 수 있는 클라이언트 장치에게 제2계층 액세스를 허락하는 경우, 많은 선행 기술 실시예에서 상기 네트워크에 대한 장치의 액세스를 해제할 수 있는 유일한 방법은 네트워크 내의 액세스 포인트와 남아있는 클라이언트 장치들이 안전한 방법으로 통신하기 위해 의지하는 PSK를 바꾸는 것이다. This may be accomplished by sharing the key derived from the PSK or PSK with other users, which may be installed in the user's device or cached in the user's device so that encrypted packets can be exchanged between the client device and the access point . Thus, it can be thought of as allowing the client device a second layer access to the wireless network. However, in many prior art embodiments, the only way to release the device's access to the network is to allow the access point in the network The remaining client devices are changing the PSK they rely on to communicate in a secure manner.
본 발명은 종래의 클라이언트 장치에 대한 액세스 해제의 제한을 해결하기 위한 것으로, 클라이언트 장치들에게 무선 네트워크에 대한 임시 또는 해제 가능한 액세스를 승인하는 것을 용이하게 하는 시스템 및 방법에 관한 것이다. SUMMARY OF THE INVENTION The present invention is directed to a system and method for facilitating admission of temporary or releasable access to a wireless network to client devices in order to overcome the limitation of an access release to a conventional client device.
본 발명의 한 측면에 따르면, 무선 액세스 포인트(wireless Access Point)는, According to an aspect of the present invention, a wireless access point comprises:
적어도 하나의 프로세서; 및  At least one processor; And
상기 적어도 하나의 프로세서에 의해 실행가능한 보안 어플리케이션(security application)을 포함하고, A security application executable by the at least one processor,
상기 보안 어플리케이션은, The security application,
서비스 세트 식별자(SSID : service set identifier)와 연관된(associated) 무선 네트워크, 상기 무선 네트워크와 연관된 마스터 사전-공유 키(pre-shared key)를 수립하는 로직(logic); A wireless network associated with a service set identifier (SSID); logic for establishing a master pre-shared key associated with the wireless network;
클라이언트 장치와 상기 무선 네트워크의 연결을 수립하기 위한 요청을 얻는 로직;Logic for obtaining a request to establish a connection between the client device and the wireless network;
상기 클라이언트 장치를 위해 상기 사전-공유 키와 다른 해제 가능한 키를 생성하는 로직; Logic for generating the pre-shared key and another releasable key for the client device;
적어도 상기 해제 가능한 키에 기반하여 인증 자격(authentication credential)을 생성하는 로직;Logic for generating an authentication credential based at least on the releasable key;
적어도 상기 해제 가능한 키에 기반한 인증 자격을 상기 클라이언트 장치로 전송하는 로직; Logic for transmitting at least the authentication credentials based on the releasable key to the client device;
상기 클라이언트에 관하여 해제 이벤트가 발생했는지 결정하는 로직; 및 Logic for determining if a release event has occurred with respect to the client; And
상기 해제 이벤트가 발생한 경우 상기 해제 가능한 키를 폐기하는 로직을 포함한다.
And discarding the releasable key when the release event occurs.
바람직하게는, 상기 보안 어플리케이션은 상기 인증 자격을 상기 클라이언트로 전송하기 전에 상기 클라이언트 장치에게 상기 무선 네트워크로의 액세스를 승인하기 위한 관리상의 인가를 얻기는 로직을 더 포함한다.
Advantageously, the security application further comprises logic to obtain an administrative authorization for granting access to the wireless network to the client device prior to sending the authentication credential to the client.
바람직하게는, 상기 보안 어플리케이션은, Advantageously, the security application further comprises:
상기 클라이언트 장치와 연관된 고유 식별자를 결정하는 로직;을 더 포함하고; Logic to determine a unique identifier associated with the client device;
상기 해제 가능한 키는 적어도 상기 고유 식별자에 기반한다.
The releasable key is based at least on the unique identifier.
바람직하게는, 상기 인증 자격은 PMK(pairwise master key)를 포함한다.
Advantageously, said authentication credentials include a pairwise master key (PMK).
바람직하게는, 상기 해제 가능한 키는 상기 클라이언트 장치와 고유하게 연관되고, 상기 해제 가능한 키는 상기 보안 어플리케이션에 의해 생성된다.
Advantageously, said releasable key is uniquely associated with said client device, and said releasable key is generated by said security application.
바람직하게는, 상기 무선 네트워크로의 상기 연결을 수립하기 위한 상기 클라이언트 장치로부터의 요청을 얻는 상기 로직은 인증 자격이 상기 적어도 하나의 프로세서에 의해 생성되고 그리고 상기 클라이언트 장치로 전송되는 세션을 시작하기 위한 요청을 얻는 로직을 더 포함한다.
Advantageously, the logic for obtaining a request from the client device for establishing the connection to the wireless network is for initiating a session in which an authentication credential is generated by the at least one processor and sent to the client device And further includes logic to obtain the request.
바람직하게는, 상기 세션은 WPS(Wi-Fi protected setup)세션을 더 포함한다.Advantageously, said session further comprises a Wi-Fi protected setup (WPS) session.
바람직하게는, 상기 보안 어플리케이션은 무선 보안 프로토콜을 사용하여 상기 무선 네트워크를 보호하는 로직을 더 포함하고,Advantageously, the security application further comprises logic to protect the wireless network using a wireless security protocol,
상기 무선 보안 프로토콜은, The wireless security protocol comprising:
WPA (Wi-Fi Protected Access) 및 Wi-Fi Protected Access (WPA) and
WPA2(Wi-Fi Protected Access II) 중 하나를 포함한다.And Wi-Fi Protected Access II (WPA2).
바람직하게는,상기 보안 어플리케이션은 상기 클라이언트 장치와 연관된 통신 세션을 수립하는 로직을 더 포함하고, Advantageously, the security application further comprises logic to establish a communication session associated with the client device,
상기 통신 세션은 암호화 무선 통신 세션을 포함하고, 상기 암호화된 무선 통신 세션은 상기 인증 자격을 사용하여 암호화된다.
The communication session includes an encrypted wireless communication session, and the encrypted wireless communication session is encrypted using the authentication credentials.
바람직하게는, 상기 클라이언트에 관하여 해제 이벤트가 발생했는지 결정하는 상기 로직은,Advantageously, the logic for determining whether a release event has occurred with respect to the client,
상기 무선 네트워크상에서 상기 클라이언트 장치와 연관된 데이터 사용량을 추적하는 로직; Logic for tracking data usage associated with the client device on the wireless network;
상기 데이터 사용이 사용 한도(usage cap)를 초과하는지 결정하는 로직; 및Logic for determining if the usage of the data exceeds a usage cap; And
상기 데이터 사용이 상기 사용 한도를 초과한 경우 해제 이벤트로 식별하는 로직을 더 포함한다.
And identifying the event as a release event if the usage of the data exceeds the usage limit.
바람직하게는, 상기 클라이언트에 관하여 해제 이벤트가 발생했는지 결정하는 상기 로직은, Advantageously, the logic for determining whether a release event has occurred with respect to the client,
적어도 상기 해제 가능한 키에 기초한 상기 인증 자격을 생성한 후 경과된 시간(elapsed time)의 양을 확인하는 로직; Logic for determining an amount of elapsed time after generating the authentication credential based at least on the releasable key;
상기 시간의 양이 소정의 임계값(threshold)을 초과하는지 결정하는 로직; 및 Logic for determining if the amount of time exceeds a predetermined threshold; And
상기 시간의 양이 상기 소정의 임계값을 초과한 때 해제 이벤트로 식별하는 로직을 더 포함한다
And identifying the event as a release event when the amount of time exceeds the predetermined threshold value
바람직하게는, 상기 클라이언트에 관하여 해제 이벤트가 발생하였는지 결정하는 상기 로직은 상기 해제 가능한 키와 상기 인증 자격 중 적어도 하나에 연관된 해제 명령을 수신하는 로직을 더 포함한다.
Advantageously, the logic for determining whether a release event has occurred with respect to the client further comprises logic to receive a release command associated with at least one of the release key and the authentication credential.
바람직하게는, 상기 해제 이벤트가 발생한 때 상기 해제 가능한 키를 폐기하는 상기 로직은 상기 클라이언트에 의한 무선 네트워크로의 액세스를 거부하는 로직을 더 포함한다.
Advantageously, the logic to discard the releasable key when the release event occurs further comprises logic to deny access to the wireless network by the client.
한 측면에 따르면, 방법이 제공되고, 상기 방법은 According to one aspect, a method is provided,
무선 액세스 포인트에서, 서비스 세트 식별자(SSID)와 연관된 무선 네트워크,상기 무선 네트워크와 연관된 마스터 사전-공유 키를 수립하는 단계; At a wireless access point, establishing a wireless network associated with a service set identifier (SSID), a master pre-shared key associated with the wireless network;
상기 무선 액세스 포인트에서, 클라이언트 장치와 상기 무선 네트워크의 연결을 수립하기 위한 요청을 얻는 단계; Obtaining, at the wireless access point, a request to establish a connection between the client device and the wireless network;
상기 무선 액세스 포인트에서, 상기 클라이언트 장치를 위해 상기 사전-공유 키와 다른 해제 가능한 키를 생성하는 단계; Generating, at the wireless access point, a different releasable key from the pre-shared key for the client device;
상기 무선 액세스 포인트에서, 적어도 상기 해제 가능한 키에 기반하여 인증 자격을 생성하는 단계; Generating, at the wireless access point, an authentication credential based at least on the revocable key;
상기 무선 액세스 포인트에서, 적어도 상기 해제 가능한 키에 기반한 인증 자격을 상기 클라이언트 장치로 전송하는 단계; Sending, at the wireless access point, authentication credentials based on at least the releasable key to the client device;
상기 무선 액세스 포인트에서, 상기 클라이언트에 관하여 해제 이벤트가 발생했는지 결정하는 단계; 및Determining, at the wireless access point, whether a release event has occurred with respect to the client; And
상기 무선 액세스 포인트에서, 상기 해제 이벤트가 발생한 경우 상기 임시 키를 폐기하는 단계를 포함한다.
At the wireless access point, discarding the temporary key if the release event occurs.
바람직하게는, 상기 무선 액세스 포인트에서, 상기 인증 자격을 상기 클라이언트 장치로 전송하기 전에 상기 클라이언트 장치에게 상기 무선 네트워크로의 액세스를 승인하기 위한 관리상의 인가를 얻는 단계를 더 포함한다.
Advantageously, at the wireless access point, the method further comprises obtaining an administrative authorization to authorize access to the wireless network to the client device prior to sending the authentication credential to the client device.
바람직하게는, 상기 방법은, 상기 무선 액세스 포인트에서, 상기 클라이언트 장치와 연관된 고유 식별자를 결정하는 단계를 더 포함하고, 상기 다른 키는 적어도 상기 고유 식별자에 기반한다.
Advantageously, the method further comprises, at the wireless access point, determining a unique identifier associated with the client device, the other key being based at least on the unique identifier.
바람직하게는, 상기 다른 키는 상기 클라이언트 장치와 고유하게 연관되고 상기 해제 가능한 키는 상기 보안 어플리케이션에 의해 생성된다.
Advantageously, said another key is uniquely associated with said client device and said releasable key is generated by said security application.
바람직하게는, 상기 무선 액세스 포인트에서, 상기 무선 네트워크로의 연결을 수립하기 위한 상기 클라이언트 장치로부터의 요청을 얻는 단계는, 인증 자격이 상기 적어도 하나의 프로세서에 의해 생성되고 그리고 상기 클라이언트 장치로 전송되는 세션을 시작하기 위한 요청을 얻는 로직을 더 포함한다.
Advantageously, at the wireless access point, the step of obtaining a request from the client device for establishing a connection to the wireless network comprises the steps of: generating an authentication credential by the at least one processor and transmitting And logic to obtain a request to start a session.
바람직하게는, 상기 방법은, 상기 무선 액세스 포인트에서, 무선 보안 프로토콜을 사용하여 상기 무선 네트워크를 보호하는 단계를 더 포함하고, 상기 무선 보안 프로토콜은 WPA (Wi-Fi Protected Access) 및 WPA2(Wi-Fi Protected Access II) 중 하나를 포함한다. Advantageously, the method further comprises, at the wireless access point, protecting the wireless network using a wireless security protocol, the wireless security protocol comprising at least one of Wi-Fi Protected Access (WPA) and Wi- Fi Protected Access II).
한 측면에 따르면, 시스템은 According to one aspect,
서비스 세트 식별자(SSID)와 연관된 무선 네트워크, 상기 무선 네트워크와 연관된 마스터 사전-공유 키를 수립하는 수단; A wireless network associated with a service set identifier (SSID), means for establishing a master pre-shared key associated with the wireless network;
클라이언트 장치와 상기 무선 네트워크의 연결을 수립하기 위한 요청을 얻는 수단;Means for obtaining a request to establish a connection between the client device and the wireless network;
상기 클라이언트 장치를 위해 상기 사전-공유 키와 다른 해제 가능한 키를 생성하는 수단; Means for generating a pre-shared key and another releasable key for the client device;
적어도 상기 해제 가능한 키에 기반하여 인증 자격을 생성하는 수단; Means for generating an authentication credential based at least on the releasable key;
적어도 상기 해제 가능한 키에 기반한 인증 자격을 상기 클라이언트 장치로 전송하는 수단; Means for transmitting an authentication credential based on at least the releasable key to the client device;
상기 클라이언트에 관하여 해제 이벤트가 발생했는지 결정하는 수단; 및 Means for determining if a release event has occurred with respect to the client; And
상기 해제 이벤트가 발생한 때 상기 임시 키를 폐기하는 수단을 포함한다.

일 측면에 따라, 무선 액세스 포인트는
무선 액세스 포인트(wireless Access Point)에 있어서,
적어도 하나의 프로세서; 및
상기 적어도 하나의 프로세서에 의해 실행가능한 보안 어플리케이션(security application)을 포함하고,
상기 보안 어플리케이션은,
서비스 세트 식별자(SSID : service set identifier)와 연관된(associated) 무선 네트워크, 상기 무선 네트워크와 연관된 마스터 사전-공유 키(pre-shared key)를 수립하는 로직(logic);
클라이언트 장치와 상기 무선 네트워크의 연결을 수립하기 위한 요청을 얻는 로직;
상기 클라이언트 장치를 위해 상기 사전-공유 키와 다른 해제 가능한 키를 생성하는 로직;
적어도 상기 해제 가능한 키에 기반하여 인증 자격(authentication credential)을 생성하는 로직;
적어도 상기 해제 가능한 키에 기반한 인증 자격을 상기 클라이언트 장치로 전송하는 로직;
상기 클라이언트에 관하여 해제 이벤트가 발생했는지 결정하는 로직;
상기 해제 이벤트가 발생한 경우 상기 해제 가능한 키를 폐기하는 로직; 및
상기 클라이언트 장치와 연관된 고유 식별자를 결정하는 로직;을 포함하되, 상기 해제 가능한 키는 적어도 상기 고유 식별자에 기반한다.

일 측면에 따라, 방법은
무선 액세스 포인트에서, 서비스 세트 식별자(SSID)와 연관된 무선 네트워크,상기 무선 네트워크와 연관된 마스터 사전-공유 키를 수립하는 단계;
상기 무선 액세스 포인트에서, 클라이언트 장치와 상기 무선 네트워크의 연결을 수립하기 위한 요청을 얻는 단계;
상기 무선 액세스 포인트에서, 상기 클라이언트 장치를 위해 상기 사전-공유 키와 다른 해제 가능한 키를 생성하는 단계;
상기 무선 액세스 포인트에서, 적어도 상기 해제 가능한 키에 기반하여 인증 자격을 생성하는 단계;
상기 무선 액세스 포인트에서, 적어도 상기 해제 가능한 키에 기반한 인증 자격을 상기 클라이언트 장치로 전송하는 단계;
상기 무선 액세스 포인트에서, 상기 클라이언트에 관하여 해제 이벤트가 발생했는지 결정하는 단계; 및
상기 무선 액세스 포인트에서, 상기 해제 이벤트가 발생한 경우 상기 해제 가능한 키를 폐기하는 단계를 포함하되,
상기 해제 가능한 키는 적어도 상기 클라이언트 장치와 연관된 고유 식별자 에 기반한다.

일 측면에 따라, 시스템은
서비스 세트 식별자(SSID)와 연관된 무선 네트워크, 상기 무선 네트워크와 연관된 마스터 사전-공유 키를 수립하는 수단;
클라이언트 장치와 상기 무선 네트워크의 연결을 수립하기 위한 요청을 얻는 수단;
상기 클라이언트 장치를 위해 상기 사전-공유 키와 다른 해제 가능한 키를 생성하는 수단;
적어도 상기 해제 가능한 키에 기반하여 인증 자격을 생성하는 수단;
적어도 상기 해제 가능한 키에 기반한 인증 자격을 상기 클라이언트 장치로 전송하는 수단;
상기 클라이언트에 관하여 해제 이벤트가 발생했는지 결정하는 수단;
상기 해제 이벤트가 발생한 때 상기 해제 가능한 키를 폐기하는 수단; 및
상기 클라이언트 장치와 연관된 고유 식별자를 결정하는 수단;을 포함하되, 상기 해제 가능한 키는 적어도 상기 고유 식별자에 기반한다.
And means for discarding the temporary key when the release event occurs.

According to one aspect, the wireless access point
In a wireless access point,
At least one processor; And
A security application executable by the at least one processor,
The security application,
A wireless network associated with a service set identifier (SSID); logic for establishing a master pre-shared key associated with the wireless network;
Logic for obtaining a request to establish a connection between the client device and the wireless network;
Logic for generating the pre-shared key and another releasable key for the client device;
Logic for generating an authentication credential based at least on the releasable key;
Logic for transmitting at least the authentication credentials based on the releasable key to the client device;
Logic for determining if a release event has occurred with respect to the client;
Logic to discard the releasable key if the releasing event occurs; And
Logic for determining a unique identifier associated with the client device, wherein the releasable key is based at least on the unique identifier.

According to one aspect,
At a wireless access point, establishing a wireless network associated with a service set identifier (SSID), a master pre-shared key associated with the wireless network;
Obtaining, at the wireless access point, a request to establish a connection between the client device and the wireless network;
Generating, at the wireless access point, a different releasable key from the pre-shared key for the client device;
Generating, at the wireless access point, an authentication credential based at least on the revocable key;
Sending, at the wireless access point, authentication credentials based on at least the releasable key to the client device;
Determining, at the wireless access point, whether a release event has occurred with respect to the client; And
At the wireless access point, discarding the releasable key when the release event occurs,
The releasable key is based at least on a unique identifier associated with the client device.

In accordance with one aspect,
A wireless network associated with a service set identifier (SSID), means for establishing a master pre-shared key associated with the wireless network;
Means for obtaining a request to establish a connection between the client device and the wireless network;
Means for generating a pre-shared key and another releasable key for the client device;
Means for generating an authentication credential based at least on the releasable key;
Means for transmitting an authentication credential based on at least the releasable key to the client device;
Means for determining if a release event has occurred with respect to the client;
Means for discarding the releasable key when the release event occurs; And
Means for determining a unique identifier associated with the client device, wherein the releasable key is based at least on the unique identifier.
본 발명에 따른 무선 액세스 포인트를 위한 해제 가능한 보안 시스템 및 방법에 의하면 액세스 포인트에서 PSK를 교체하지 아니하고, 일정 기간의 만료 및 대역폭 사용 한도를 초과하는 등의 해제이벤트가 발생할 경우 해제 가능한 키(임시 사전-공유 키 또는 인증 자격)를 폐기함으로써 클라이언트 장치에 대한 액세스를 용이하게 제한할 수 있는 효과가 있다.According to the releasable security system and method for a wireless access point according to the present invention, when the PSK is not replaced at the access point, and a releasing event such as expiration of a predetermined period or exceeding a bandwidth usage limit occurs, - the shared key or authentication credentials) to access the client device.
본 발명의 많은 측면들은 다음 도면들을 참고로 하여 더 잘 이해될 수 있다. 도면의 구성요소들은 반드시 비율에 맞게 그려진 것은 아니고, 대신 본 발명의 원리들을 명확하게 나타내는 데 중점을 두었다. 더욱이, 도면에서, 비슷한 참조 번호들은 여러 도면들을 통하여 대응하는 부품들을 가리킨다.
도 1은 본 개시의 다양한 실시예들에 따라 보안 어플리케이션을 수행하는 무선 액세스 포인트를 포함하는 네트워크 환경의 도면이다.
도 2-4는 본 개시의 다양한 실시예들에 따라 상기 보안 어플리케이션과 클라이언트 장치들 간에 교환되는 데이터의 예들을 나타내는 시퀀스도이다.
도 5는 본 개시의 다양한 실시예들에 따라 도 1의 상기 네트워크 환경에서 무선 액세스 포인트에서 수행되는 상기 보안 어플리케이션의 부분들로서 구현된 기능의 하나의 비한정적인 예를 나타내는 흐름도이다.
도 6은 본 개시의 다양한 실시예들에 따라 도 1의 상기 네트워크 환경에서 사용되는 무선 액세스 포인트의 하나의 예시적 도해를 제공하는 개요 블록 선도이다.
Many aspects of the invention may be better understood with reference to the following drawings. The components of the figures are not necessarily to scale, emphasis instead being placed upon clearly illustrating the principles of the invention. Further, in the drawings, like reference numerals designate corresponding parts throughout the several views.
1 is a diagram of a network environment including a wireless access point performing security applications in accordance with various embodiments of the present disclosure.
2-4 are sequence diagrams illustrating examples of data exchanged between the secure application and client devices in accordance with various embodiments of the present disclosure.
Figure 5 is a flow diagram illustrating one non-limiting example of functionality implemented as portions of the secure application performed at a wireless access point in the network environment of Figure 1 in accordance with various embodiments of the present disclosure.
Figure 6 is a schematic block diagram that provides one exemplary illustration of a wireless access point used in the network environment of Figure 1 in accordance with various embodiments of the present disclosure.
본 개시는 기존의 무선 근거리 통신 표준들 및 기술들을 활용하는 방법으로 클라이언트 장치들에게 무선 네트워크에 대한 임시 또는 해제 가능한 제2계층 액세스를 승인(grant)하는 것을 용이하게 하기 위한 시스템 및 방법에 관한 것이다. 위에 언급한 바와 같이, IEEE 802.11 표준들은 무선 네트워크 액세스 포인트와 클라이언트 장치들 간의 통신을 용이하게 하기 위하여 자주 사용된다. 더욱이, 다양한 보안 프로토콜들 또한 무선 네트워크 액세스 포인트와 클라이언트 장치들 간의 통신을 안전하게 하기 위하여 사용될 수 있다. 예를 들어, WPA (Wi-Fi Protected Access;), WPA2 (Wi-Fi Protected Access II;), IEEE 802.11i, 또는 다양한 다른 보안 및 암호화 프로토콜들이 미승낙된(unapproved) 사용자들 그리고/또는 장치들에 의한 액세스 포인트에 의해 용이하게 된 무선 네트워크의 액세스를 제한하기 위하여 사용된다. 더욱이, 클라이언트와 액세스 포인트 간의 키들 또는 다른 인증 정보의 교환을 용이하게 하여 클라이언트가 보안된 무선 네트워크를 최소한의 설정 또는 사용자 관여로 이용할 수 있게 하기 위하여 WPS(Wi-Fi Protected Setup)와 같은 표준 그리고/또는 프로토콜들이 사용된다. 더욱이, 본 개시의 실시예들은 블루투스 표준들, 니어 필드 통신(Near Field Communication; NFC) 또는 사전-공유 키(pre-shared key)의 이용을 수반하는 보안 프레임워크를 포함할 수 있는 기타 모든 무선 통신 표준들에 대하여 동일하게 적용될 수 있다. This disclosure relates to a system and method for facilitating granting temporary or releasable second layer access to a wireless network to client devices in a manner that utilizes existing wireless local area network communication standards and techniques . As mentioned above, IEEE 802.11 standards are frequently used to facilitate communication between a wireless network access point and client devices. Furthermore, various security protocols may also be used to secure communication between the wireless network access point and the client devices. For example, Wi-Fi Protected Access (WPA), Wi-Fi Protected Access II (WPA2), IEEE 802.11i, or various other security and encryption protocols may be used by unapproved users and / Lt; / RTI > is used to limit the access of the wireless network facilitated by the access point by < RTI ID = 0.0 > Furthermore, a standard such as Wi-Fi Protected Setup (WPS) and / or the like may be used to facilitate the exchange of keys or other authentication information between a client and an access point so that a client can use the secured wireless network with minimal configuration or user involvement. Or protocols are used. Furthermore, embodiments of the present disclosure may be applied to all other wireless communications that may include a security framework involving the use of Bluetooth standards, Near Field Communication (NFC) or pre-shared key The same can be applied to standards.
사전-공유 키(PSK)의 이용을 수반하는 무선 보안 프로토콜을 사용하는 가정 또는 기업 환경의 사용자들은 액세스 포인트를 그들이 선택한 PSK로 구성하고 다양한 클라이언트 장치들도 같은 PSK로 구성함으로써 다양한 클라이언트 장치들이 보안 무선 네트워크를 액세스 가능하게 할 수 있다. 다양한 종류의 무선 보안 프로토콜들에 따르면, 예를 들어 WPA2, 액세스 포인트와 클라이언트 장치는 그 다음에 핸드셰이크(handshake)를 수행하고 보안 링크를 통한 후속 통신을 용이하게 하기 위하여 각자에 의해서 쌍대키(pairwise key)들이 생성된다. 일부 사용자들은 WPS 또는 유사한 프로토콜을 구현하는 액세스 포인트들 및 클라이언트 장치들 활용하여 클라이언트 장치와 무선 액세스 포인트 간의 통신을 가능하게 하는 절차를 능률화 할 수 있다. WPS와 같은 프로토콜들은 WPA2와 같은 보안 프로토콜을 이용하는 액세스 포인트와 클라이언트 장치 통신을 허용하기 위하여 필요한 정보를 교환하는 것을 용이하게 한다. Users in a home or corporate environment using a wireless security protocol involving the use of a pre-shared key (PSK) may configure the access points with the PSK they chose and configure the various client devices with the same PSK, Thereby making the network accessible. According to various types of wireless security protocols, for example, WPA2, the access point and the client device may then perform a handshake and establish a pairwise keys are generated. Some users may streamline procedures to enable communication between a client device and a wireless access point utilizing access points and client devices implementing WPS or similar protocols. Protocols such as WPS facilitate exchanging the necessary information to allow client device communication with an access point using a security protocol such as WPA2.
위에 언급한 바와 같이, 만약 무선 액세스 포인트를 소유 그리고/또는 관리하고 그럼으로써 그것이 연결된 네트워크에 액세스하는 어떤 사용자가 추가적인 클라이언트 장치들에 대해 액세스를 허락하기 원한다면, 네트워크 서비스 셋 식별자(Service Set IDentifier; SSID)와 연관된 PSK는 클라이언트 장치에 제공되는 사용자 인터페이스로 입력될 수 있고, 이는 액세스 포인트와 데이터 패킷들을 안전하게 교환하기 위해 필요할 수 있는 다른 키들이나 인증 자격(authentication credential)들을 도출할 수 있다. 더욱이, 클라이언트 장치는 또한 WPS와 같은 프로토콜을 통해 구성될 수 있는데, 이 때 사용자는 액세스 포인트와 연관된 개인 식별 번호(PIN)를 입력하거나, WPS 절차를 시작하기 위해 클라이언트 또는 액세스 포인트와 연관된 물리 또는 가상 버튼을 작동하거나, 그러한 프로토콜이 지원하는 기타 초기화 흐름을 수행한다. 어느 절차의 결과든지 일반적으로, 최소한 SSID와 연관된 PSK가 변경될 때 까지, 액세스 포인트와 사용자가 액세스를 허락하는 클라이언트 장치 간의 계속적 연관(association)을 수반한다. 사용자가, 예를 들어 친구 그리고/또는 방문자에 속하는 장치와 같은, 방문 클라이언트 장치에게 액세스를 허락하기 원할 경우, 이것은 원하는 결과가 아닐 수 있다. 관리자(administrative user)는 액세스 포인트와 방문 클라이언트 장치 간의 계속적 연관을 창설하기를 바라지 아니 할 수 있지만, PSK를 변경하고 사용자가 계속적 연관을 원하지 아니하는 잠재적으로 무수히 많은 남아있는 클라이언트 장치들을 업데이트 해야 하는 것 또한 원하지 않을 수 있다. As mentioned above, if a user who owns and / or manages a wireless access point and thereby accesses the network to which it is connected wants to allow access to additional client devices, then a Service Set IDentifier (SSID) ) May be entered into the user interface provided to the client device, which may derive other keys or authentication credentials that may be needed to securely exchange data packets with the access point. Moreover, the client device may also be configured via a protocol such as WPS, wherein the user enters a personal identification number (PIN) associated with the access point, or a physical or virtual Button, or any other initialization flow supported by such a protocol. The result of any procedure generally involves an ongoing association between the access point and the client device to which the user allows access, at least until the PSK associated with the SSID is changed. This may not be the desired result if the user wants to allow access to the visiting client device, e.g., a device belonging to a friend and / or a visitor. An administrative user may not wish to establish a persistent association between an access point and a visiting client device, but it may be necessary to change the PSK and update the potentially myriad remaining client devices that the user does not want to continue to associate with You may also not want to.
따라서, 본 개시의 실시예들은 기존의 IEEE 802.11 표준들로 구현할 수 있는 방법으로 그러한 방문 클라이언트 장치를 위한 임시 그리고/또는 해제 가능한 자격들을 창설할 수 있게 한다. 그러므로, 이제 도 1을 참조하는데, 본 개시의 일 실시예에 따른 네트워크 환경(100)의 일 예를 보여준다. 도시한 네트워크 환경(100)은 네트워크(112)에 결합된 무선 액세스 포인트(101) 및 복수의 클라이언트 장치들을 포함한다. 네트워크(112)는, 예를 들면, 인터넷, 인트라넷, 엑스트라넷, 원거리통신망(WAN), 근거리통신망(LAN), 유선 네트워크, 무선 네트워크, 또는 기타 적절한 네트워크 등 또는 둘 이상의 그러한 네트워크들의 조합을 포함한다. 무선 액세스 포인트(101)와 네트워크(112) 간의 연결은, 예를 들면 이더넷 연결과 같은, 유선 연결이나, 예를 들면 Wi-Fi 그리고/또는 모든 근거리 또는 원거리 무선 네트워크 표준과 같은, 무선 연결이나, 또는 그의 모든 조합을 포함할 수 있다. Thus, embodiments of the present disclosure allow for the creation of temporary and / or releasable qualifications for such visiting client device in a manner that can be implemented with existing IEEE 802.11 standards. Therefore, reference is now made to Figure 1, which shows an example of a network environment 100 in accordance with one embodiment of the present disclosure. The depicted network environment 100 includes a wireless access point 101 coupled to a network 112 and a plurality of client devices. Network 112 includes, for example, a combination of two or more such networks, such as the Internet, an intranet, an extranet, a wide area network (WAN), a local area network (LAN), a wired network, a wireless network, . The connection between the wireless access point 101 and the network 112 may be a wired connection such as an Ethernet connection or a wireless connection such as Wi-Fi and / or any near or far wireless network standard, Or any combination thereof.
무선 액세스 포인트(101)은 일부 실시예들에서 전용 무선 근거리통신망 액세스 포인트를 포함할 수 있다. 다른 실시예들에서는, 무선 액세스 포인트(101)는 핫스팟 장치, 핫스팟 기능을 포함하는 스마트폰, 휴대용 액세스 포인트, 또는 기타 모든 무선 액세스 포인트 기능을 제공하는 동등한 장치를 나타낼 수 있다. 더욱이, 차량 또는 항공기에 기초한 무선 액세스 포인트 또한 여기에 설명하는 기능을 구현할 수 있다. 일부 실시예들에서는, 무선 액세스 포인트(101)는, 예를 들면 공항, 커피숍 등에서와 같은, 공공이 액세스할 수 있는 무선 네트워크를 용이하게 할 수 있다.  The wireless access point 101 may include a dedicated wireless local area network access point in some embodiments. In other embodiments, the wireless access point 101 may represent a hotspot device, a smartphone including a hotspot function, a portable access point, or an equivalent device that provides all other wireless access point functionality. Moreover, a vehicle or aircraft based wireless access point may also implement the functions described herein. In some embodiments, the wireless access point 101 may facilitate a publicly accessible wireless network, such as, for example, at airports, coffee shops, and the like.
그러므로, 무선 액세스 포인트(101)는 액세스 포인트 시스템(103), 보안 어플리케이션(105), 마스터 사전-공유 키(107), 클라이언트 표(109)를 포함할 수 있고, 클라이언트 표(table)(109)는 하나 이상의 해제 가능한 키들(111), 세션 키들(119), 그리고/또는 다른 데이터를 포함할 수 있다. 무선 액세스 포인트(101)은 그것이 통신하는 다양한 클라이언트 장치들에게 네트워크(112)에 대한 액세스를 제공할 수 있다. 일부 경우들에서, 무선 액세스 포인트(101)는 통합 라우팅 기능을 포함할 수 있다. 다른 경우들에서, 무선 액세스 포인트(101)는 라우팅 기능을 포함하지 아니 하고 단순히 클라이언트 장치들을 유선 또는 기타 네트워크로 결합한다. 무선 액세스 포인트(101)는 또한 액세스 포인트(101)에 의해 용이하게 된 무선 네트워크 상의 다양한 클라이언트 장치들 간에 데이터를 전달할 수 있다. 액세스 포인트 시스템(103)은, 예를 들면 무선 근거리통신 컨트롤러, 안테나 시스템들, 기저대역 프로세서들 등과 같은, 무선 액세스 포인트(101)의 다양한 하드웨어 구성요소들과 상호작용하는, 라우팅 기능, 방화벽 기능, 네트워크 주소 변환(Network Address Translation; NAT) 기능 그리고/또는 기타 기능을 구현하기 위한, 하나 이상의 어플리케이션들, 서비스들, 그리고/또는 프로세스들을 나타낼 수 있다. Thus, the wireless access point 101 may include an access point system 103, a security application 105, a master pre-shared key 107, a client table 109, a client table 109, May include one or more releasable keys 111, session keys 119, and / or other data. The wireless access point 101 may provide access to the network 112 to the various client devices with which it communicates. In some cases, the wireless access point 101 may include an integrated routing function. In other cases, the wireless access point 101 does not include a routing function and simply couples client devices to a wired or other network. The wireless access point 101 may also communicate data between the various client devices on the wireless network facilitated by the access point < RTI ID = 0.0 > 101. < / RTI & The access point system 103 may include a routing function, a firewall function, a wireless network function, and the like that interact with various hardware components of the wireless access point 101, such as, for example, a wireless local area communication controller, antenna systems, baseband processors, May represent one or more applications, services, and / or processes for implementing Network Address Translation (NAT) functions and / or other functions.
보안 어플리케이션(105)은 무선 액세스 포인트(101)에 의해 수행되어, 여기에 설명하는 바와 같이 방문 클라이언트 장치들을 위해 생성되는 인증 자격의 생성, 관리, 그리고/또는 해제를 구현한다. 보는 바와 같이, 보안 어플리케이션(105)은 또한, 예를 들면 WPA, WPA2, 및 기타 프로토콜들과 같은, 그러나 여기에 한정하지 않는, 하나 이상의 무선 보안 프로토콜들을 구현할 수 있다. 마스터 사전-공유 키(107)는 클라이언트 장치들이 액세스 포인트 시스템(103)에 의해 용이하게 된 네트워크를 액세스 하는 데 쓰일 수 있는 패스워드, 패스프레이즈(passphrase), 또는 기타 자격을 포함한다. 클라이언트 표(109)는 네트워크를 액세스하는 클라이언트 장치들과 연관된 임시 또는 해제 가능한 자격들에 관한 해제 가능한 키들(111)과 같은 데이터를 포함할 수 있다. 해제 가능한 키들(111)은, 예를 들면 쌍대키(pairwise key)들과 같은, 인증 자격이 본 개시의 다양한 실시예들에 따라 보안 어플리케이션(105)에 의해 생성될 수 있게하는 데이터를 포함한다. 세션 키들(119)은, 예를 들면 쌍대키(pairwise key)들과 같은, 세션 기반 인증 자격이 보안 어플리케이션에 의해 생성될 수 있게 하는 데이터를 포함한다.  The security application 105 is implemented by the wireless access point 101 to implement the creation, management, and / or release of authentication credentials generated for visiting client devices as described herein. As will be seen, the security application 105 may also implement one or more wireless security protocols, such as, but not limited to, WPA, WPA2, and other protocols. The master pre-shared key 107 includes a password, passphrase, or other credential that client devices may use to access the network facilitated by the access point system 103. The client table 109 may include data such as releasable keys 111 relating to temporary or releasable credentials associated with client devices accessing the network. The releasable keys 111 include data that allows authentication credentials to be generated by the security application 105 according to various embodiments of the present disclosure, such as, for example, pairwise keys. Session keys 119 include data that allows session-based authentication credentials to be generated by a security application, such as, for example, pairwise keys.
더욱이, 무선 액세스 포인트(101)는 또한 하나 이상의 그룹 정책들을 구현할 수 있고, 그것은 그룹 정책(121)에 의해 정의될 수 있다. 그러한 그룹 정책(121)은 그룹 멀티캐스트 정책의 형태를 띨 수 있다. 그러한 시나리오에서, 그룹 정책(121)은 그 그룹의 구성원들인 클라이언트들에 대응하는 하나 이상의 항목들을 포함할 수 있다. 그룹 정책(121)은 또한 하나 이상의 대응하는 해제 가능한 키들(111)을 포함할 수 있는데, 이는 또한, 예를 들면 쌍대키(pairwise key)들과 같은, 인증 자격이 본 개시의 다양한 실시예들에 따라 보안 어플리케이션(105)에 의해 생성될 수 있게 하는 데이터이다. 따라서, 그룹의 하나 이상의 구성원들은 그룹 정책(121)의 구성원에 대응하는 해제 가능한 키(123)를 해제함으로써 제거될 수 있다. 보안 어플리케이션(105)은 또한 주기적으로, 특히 그룹 정책(121)에서 구성원을 제거한 때, 그룹의 다양한 구성원들 및 무선 액세스 포인트(101)가 해제 가능한 키(123)으로부터 도출된 새로운 쌍대키(pairwise key)들을 생성하도록 강제하기 위한 리키잉(rekeying) 이벤트를 시작할 수 있다. 이런 방법으로, 보안 어플리케이션(105)는 오직 그룹 정책(121)의 인가된(authorized) 구성원들만 무선 액세스 포인트(101)과 통신할 수 있음을 보장할 수 있다. Moreover, the wireless access point 101 may also implement one or more group policies, which may be defined by the group policy 121. Such a group policy 121 may take the form of a group multicast policy. In such a scenario, the group policy 121 may include one or more items corresponding to clients that are members of the group. The group policy 121 may also include one or more corresponding revocable keys 111 that may also be used by the authentication system 110 to authenticate the user to the various embodiments of the present disclosure, such as, for example, pairwise keys. And thus can be generated by the security application 105. Thus, one or more members of the group may be removed by releasing the releasable key 123 corresponding to a member of the group policy 121. The security application 105 may also periodically and in particular remove the members in the group policy 121 so that the various members of the group and the wireless access point 101 can access the new pair key < RTI ID = 0.0 > ≪ RTI ID = 0.0 > (e. G., ≪ / RTI > In this way, the security application 105 can ensure that only authorized members of the group policy 121 can communicate with the wireless access point 101.
다양한 종류의 클라이언트 장치들이 액세스 포인트(101)과 데이터를 교환할 수 있다. 도 2의 예에서, 홈 클라이언트 장치(113), 관리 클라이언트 장치(115), 그리고 방문 클라이언트 장치(117)이 도시되었다. 이 클라이언트 장치들 어느 것이나 액세스 포인트(101)을 통해 네트워크(112)에 결합될 수 있는 복수의 종류의 클라이언트 또는 컴퓨팅 장치들을 나타낸다. 클라이언트들은, 예를 들어, 컴퓨터 시스템 그리고/또는 휴대 장치와 같은 프로세서-기반 시스템을 포함할 수 있다. 그러한 컴퓨터 시스템은 데스크톱 컴퓨터, 랩톱 컴퓨터, 개인 디지털 보조장치(Personal Digital Assistant; PDA), 휴대전화, 스마트폰, 셋톱 박스, 음악 플레이어, 웹패드, 태블릿 컴퓨터 시스템, 게임 콘솔, 광 디스크 플레이어, 또는 유사한 기능을 가진 모든 기타 장치들의 형태로 구현될 수 있다. 클라이언트들은 액세스 포인트(101)과의 통신을 가능하게 하는 무선 기능 통해 구성될 수 있다. 클라이언트들은 또한 무선 통신 및 무선 보안을 용이하게 하는 다양한 IEEE 802.11 표준들 중 어느 것도 구현할 수 있다. Various types of client devices can exchange data with the access point 101. [ In the example of FIG. 2, a home client device 113, an administrative client device 115, and a visiting client device 117 are shown. Any of these client devices may be coupled to the network 112 via the access point 101. Clients may include, for example, processor-based systems such as computer systems and / or portable devices. Such a computer system may be a desktop computer, a laptop computer, a personal digital assistant (PDA), a cellular phone, a smartphone, a set-top box, a music player, a web pad, a tablet computer system, a game console, Lt; RTI ID = 0.0 > a < / RTI > function. Clients can be configured through a wireless function that enables communication with the access point 101. [ Clients may also implement any of a variety of IEEE 802.11 standards to facilitate wireless communication and wireless security.
따라서, 본 개시의 일 실시예에 따른 무선 액세스 포인트(101)은 사용자(예를 들어, 무선 액세스 포인트(101)을 관리하는 관리자, 액세스 포인트가 속한 가정 소유자, 등)가 무선 네트워크를 액세스 하기 위한 임시 그리고/또는 해제 가능한 자격들을 발부하거나 액세스 포인트(101)로 하여금 발부하도록 인가할 수 있다. 도 1의 맥락에서, 홈 클라이언트 장치(113)은 무선 네트워크의 소유자 또는 관리자가 그 네트워크와 계속적 또는 영구적 연결을 수립하기를 바라는 하나 이상의 클라이언트 장치들을 나타낸다. 따라서, 마스터 사전-공유 키(107)는 수립되어 홈 클라이언트 장치(113)와 공유될 수 있다. 보는 바와 같이, 홈 클라이언트 장치(113)와 무선 액세스 포인트(101)은 마스터 사전-공유 키(107)을 이용하여 핸드셰이크 절차를 수행하고/또는 무선 보안 프로토콜에 이용할 쌍대키(pairwise key)(들)을 생성할 수 있다. Thus, a wireless access point 101 in accordance with one embodiment of the present disclosure may be configured to allow a user (e.g., an administrator managing a wireless access point 101, a home owner to which an access point belongs, etc.) May issue temporary and / or releasable qualifications or authorize the access point 101 to issue. In the context of Figure 1, the home client device 113 represents one or more client devices that the owner or manager of the wireless network wishes to establish a persistent or permanent connection with the network. Thus, the master pre-shared key 107 can be established and shared with the home client device 113. [ As shown, the home client device 113 and the wireless access point 101 perform a handshake procedure using the master pre-shared key 107 and / or use a pairwise key (s) Can be generated.
대안으로서, 홈 클라이언트 장치(113)와 무선 액세스 포인트(101)는 액세스 포인트(101)와 클라이언트 장치 간의 보안 정보의 구성을 용이하게 하는 WPS 또는 유사한 프로토콜들을 사용하여 페어링(pair) 될 수 있다. 따라서, WPS 세션은 무선 액세스 포인트(101) 상의 물리 또는 가상 버튼을 작동함으로써 시작될 수 있고, 이는 WPA, WPA2, 등과 같은 무선 보안 프로토콜이 이용하는 보안 정보의 설정을 용이하게 할 수 있다. WPA2 프로토콜을 이용하여 보호하는 무선 네트워크에서는, 예를 들면, 홈 클라이언트 장치(113)과 액세스 포인트(101)은 WPS세션에서 정보를 교환함으로써 페어링 될 수 있다. Alternatively, the home client device 113 and the wireless access point 101 may be paired using WPS or similar protocols that facilitate the configuration of security information between the access point 101 and the client device. Thus, a WPS session may be initiated by operating a physical or virtual button on the wireless access point 101, which may facilitate the establishment of security information used by wireless security protocols such as WPA, WPA2, and so on. In a wireless network that protects using the WPA2 protocol, for example, the home client device 113 and the access point 101 may be paired by exchanging information in a WPS session.
그러므로, 본 개시의 실시예들은 WPA 그리고/또는 WPA2와 같은 무선 보안 프로토콜들 및 WPS와 같은 초기화 프로토콜들을 활용하여, 임시 자격들 그리고/또는 해제 가능한 자격들을 발부할 수 있는 기법을 용이하게 할 수 있다. 일 실시예에서, 보안 어플리케이션(105)는 방문 클라이언트 장치(117)로부터 또는 그를 위하여 무선 액세스 포인트(101)가 광고하는 SSID에 연관된 무선 네트워크로 연결하기 위한 요청을 수신할 수 있다. 그러한 요청은 방문 클라이언트 장치(117)과 액세스 포인트(101)을 페어링 하여 방문 클라이언트 장치(117)가 액세스 포인트(101)에 의해 용이하게 된 무선 네트워크를 액세스 할 수 있게 하기 위한 WPS 세션의 초기화로서 보안 어플리케이션(105)에 의해 얻어질 수 있다. Thus, embodiments of the present disclosure may facilitate techniques for issuing temporary qualifications and / or releasable qualifications utilizing wireless security protocols such as WPA and / or WPA2 and initialization protocols such as WPS . In one embodiment, the security application 105 may receive a request from the visiting client device 117 to connect to the wireless network associated with the SSID advertised by or for the wireless access point 101. Such a request may be initiated by initializing the WPS session to allow the visiting client device 117 to access the wireless network facilitated by the access point 101 by pairing the visiting client device 117 with the access point 101 Can be obtained by the application 105.
따라서, 보안 어플리케이션(105)은 마스터 사전-공유 키(107)과 다른 해제 가능한 키(111)를 생성할 수 있다. 해제 가능한 키(111)은 방문 클라이언트 장치(117)에 대하여 고유하고 그 장치와 연관된 고유 식별자에 기초할 수 있다. 예를 들어, 해제 가능한 키(111)은 WPS 세션에서 방문 클라이언트 장치(117)로부터 수신한 정보에 기초할 수 있다. 일부 실시예들에서, 해제 가능한 키(111)는 방문 클라이언트 장치(117)과 고유하게 연관될 수 있는 임의의 양의 데이터를 입력으로 하는 해쉬 함수(hash function)로 생성하고 무선 네트워크로 연결 요청의 일부로서 액세스 포인트(101)이 수신한 값일 수 있다. 이런 방법으로, 보안 어플리케이션(105)는 개방형 시스템간 상호 접속(Open Systems Interconnection; OSI) 제2계층에서 제어되는 임시 액세스의 승인을 제공할 수 있는데, 많은 공공이 액세스할 수 있는 무선 네트워크들(예를 들면, 공항, 커피숍, 등)의 경우에 사용되는 제3계층에서 제어되는 다른 기법들과 비교된다. 그러므로, 보안 어플리케이션(105)은 네트워크 상의 미인가된 클라이언트들이 액세스 포인트(101) 및 네트워크 상의 다른 클라이언트들과 패킷을 교환하는 것 조차도 방지할 수있는 반면, 제3계층에서의 액세스 제어는 미인가된 클라이언트가 액세스 포인트 및 다른 클라이언트들과 데이터를 교환할 수 있다. Thus, the security application 105 may generate a master pre-shared key 107 and another releasable key 111. [ The releasable key 111 may be based on a unique identifier for the visiting client device 117 and associated with the device. For example, the releasable key 111 may be based on information received from the visiting client device 117 in a WPS session. In some embodiments, the releasable key 111 may be generated as a hash function with an arbitrary amount of data that can be uniquely associated with the visiting client device 117, And may be a value received by the access point 101 as a part. In this way, the security application 105 can provide admission of temporary access controlled at the second layer of the Open Systems Interconnection (OSI), where many publicly accessible wireless networks For example, in airports, coffee shops, etc.). Thus, the security application 105 may prevent even unauthorized clients on the network from even exchanging packets with the access point 101 and other clients on the network, while access control in the third layer may prevent unauthorized clients Data exchange with access points and other clients.
일 실시예에서, 액세스 포인트(101)는 방문 클라이언트 장치(117)과 고유하게 연관된 해제 가능한 키(111)로부터 도출된 한 쌍으로 된 마스터 키를 방문 클라이언트 장치(117)에게 제공할 수 있다. 그 결과로서, 방문 클라이언트 장치(117)와 액세스 포인트(101)는 둘 다 장치와 액세스 포인트(101) 간의 데이터 교환을 암호화 하기 위해 이용되는 PTK(pairwise transient key)를 해제 가능한 키(111)에 기반한 PMK(pairwise master key)로부터 도출할 수 있다. 이런 방법으로, 액세스 포인트(101)은 마스터 사전-공유 키(107)에 기초하지 않고, 다른 키에 기초한 인증 자격을 방문 클라이언트 장치(117)에게 제공할 수 있다. In one embodiment, the access point 101 may provide the visiting client device 117 with a paired master key derived from a releasable key 111 that is uniquely associated with the visiting client device 117. As a result, the visiting client device 117 and the access point 101 both use a pairwise transient key (PTK), which is used to encrypt the data exchange between the device and the access point 101, Can be derived from a pairwise master key (PMK). In this way, the access point 101 may provide authentication credentials based on other keys to the visiting client device 117, instead of being based on the master pre-shared key 107.
유사하게, 보안 어플리케이션(105)는 또한 클라이언트를 위하여 세션 키(119)를 생성할 수 있는데, 이것으로부터 PMK(pairwise master key)들이 생성되어 방문 클라이언트 장치(117)에게 제공될 수 있다. 세션 키(119)는, 예를 들어 VoIP(Voice over Internet Protocol) 세션의 경우와 같이, 무선 액세스 포인트(101)과의 특정 통신 세션을 위하여 생성된 인증 자격을 나타낼 수 있다. 따라서, 방문 클라이언트 장치(117)은 사용자 레벨에서 해제 가능한 키(111)를 제거하거나, 세션 레벨에서 세션 키(119) 및 그 연관된 PMK(pairwise master key)들을 제거함으로써 해제될 수 있다. Similarly, the security application 105 may also generate a session key 119 for the client, from which pairwise master keys (PMKs) may be generated and provided to the visiting client device 117. The session key 119 may indicate the authentication credentials generated for a particular communication session with the wireless access point 101, such as, for example, in the case of a Voice over Internet Protocol (VoIP) session. Thus, the visiting client device 117 can be released by removing the releasable key 111 at the user level or by removing the session key 119 and its associated pairwise master keys (PMK) at the session level.
일부 실시예들에서, 보안 어플리케이션(105)은, 방문 클라이언트 장치(117)를 위하여 무선 네트워크에 가입하기 위한 요청을 얻는 때, 방문 클라이언트 장치(117)가 네트워크에 가입하는 것을 용인하는 인가를 얻기 위한 요청을 관리 클라이언트 장치(115)에게 전송할 수 있다. 인가를 얻기 위한 그러한 요청은 이메일, SMS(Short Message Service), 또는 관리자가 지정하는 기타 모든 종류의 메시지로 전송될 수 있다. 따라서, 요청은, 예를 들어 장치 파라미터들, 방문 클라이언트 장치(117)의 사용자에 의해 제공된 사용자 이름, 또는 방문 클라이언트 장치(117)의 식별을 용이하게 하는 기타 모든 정보와 같은, 방문 클라이언트 장치(117)에 의해 제공되는 식별 정보를 포함할 수 있다. In some embodiments, the security application 105 may be configured to obtain an authorization to allow the visiting client device 117 to join the network when obtaining a request to join the wireless network for the visiting client device 117 And send the request to the management client device 115. Such a request for authorization may be sent by e-mail, Short Message Service (SMS), or any other type of message designated by the administrator. Thus, the request may be sent to the visiting client device 117 (e.g., client device 117), such as, for example, device parameters, a username provided by a user of visited client device 117, ). ≪ / RTI >
따라서, 관리 클라이언트 장치(115)에게 인가 요청을 제출한 경우, 관리자(administrative user)는 요청을 수락하거나 거부할 수 있다. 수락한 경우, 보안 어플리케이션(105)는 방문 클라이언트 장치(117)를 위한 해제 가능한 키(111)와 네트워크를 보호하기 위해 액세스 포인트(101)에 의해 사용되는 무선 보안 프로토콜의 필요에 의해 도출된 모든 쌍대키(pairwise key)들 또는 기타 인증 자격을 생성할 수 있다. 더욱이, 관리자는, 만약 관리자는 더 이상 방문 클라이언트 장치(117)가 무선 네트워크에 액세스 하는 것을 원하지 않는다면, 관리 클라이언트 장치(115)를 통해, 해제 가능한 키(111)의 해제를 시작할 수 있다. 이런 방법으로, 방문 클라이언트 장치(117)의 관점에서, 보안 어플리케이션(105)는 표준 무선 보안 프로토콜을 구현하는 것이지만, 사실은, 보안 어플리케이션(105)이 방문 클라이언트 장치(117)에게 임시 그리고/또는 해제 가능하고 관리자에 의해 잠재적으로 승인된 그리고/또는 해제될 수 있는 네트워크를 액세스 하기 위한 인증 자격들을 발부하는 것이다. Thus, if an administrative request is submitted to the administrative client device 115, the administrative user can accept or reject the request. If accepted, the security application 105 may determine that there are a releasable key 111 for the visiting client device 117 and all the pairs (e. G., ≪ RTI ID = 0.0 > Key pairings or other authentication entitlements. Moreover, the administrator can initiate the release of the releasable key 111 via the administrative client device 115, if the administrator no longer wishes the visiting client device 117 to access the wireless network. In this way, in terms of the visiting client device 117, the security application 105 implements a standard wireless security protocol, but in fact, the security application 105 may temporarily and / And to issue authentication credentials for accessing a network that is potentially authorized and / or released by an administrator.
그러므로, 액세스 포인트(101)은 단순히 해제 가능한 키(111)을 해제함으로써 나중에 방문 클라이언트 장치(117)에게 제공된 인증 자격을 해제할 수 있다. 다시 말해서, 보안 어플리케이션(105)는 클라이언트 표(table)(109)로부터 해제 가능한 키(111)을 제거하거나 키를 해제된 것으로 표시할 수 있는데, 이는 해제되었을 경우 액세스 포인트 시스템(103)이 방문 클라이언트 장치(117)로부터 전송된 패킷들을 라우팅하거나 인식하는 것을 거부하도록 할 수 있다. 이런 의미에서, 해제 이벤트를 감지한 경우, 보안 어플리케이션(105)는 해제 가능한 키(111) 및 액세스 포인트(101)에 의해 용이하게 된 무선 네트워크에 대한 방문 클라이언트 장치의 액세스를 폐기한다. Therefore, the access point 101 can release the authentication credential provided to the visiting client device 117 later by simply releasing the releasable key 111. [ In other words, the security application 105 may remove the releasable key 111 from the client table 109 or mark the key as released, which, when cleared, And may refuse to route or recognize packets sent from the device 117. [ In this sense, when detecting a release event, the security application 105 discards the access of the visiting client device to the wireless network facilitated by the releasable key 111 and the access point 101. [
해제 이벤트는 여러 형태로 발생할 수 있다. 보안 어플리케이션(105)은 일정 기간의 만료 및 대역폭 사용 한도를 초과할 경우 방문 클라이언트 장치(117)과 연관된 해제 가능한 키(111)을 해제하도록 구성될 수 있다. 기간 그리고/또는 대역폭 사용 한도는 미리 정의되거나, 관리자에 의해 미리 구성되거나, 그리고/또는 방문 클라이언트 장치(117)에게 무선 네트워크를 액세스 하기 위한 인증 자격들을 제공하도록 보안 어플리케이션(105)로부터의 요청을 승인한 때 관리자에 의해 지정될 수 있다. Release events can occur in many forms. The security application 105 may be configured to release the releasable key 111 associated with the visiting client device 117 if the expiration and bandwidth usage limits of a period of time are exceeded. The time period and / or bandwidth usage limit may be predefined, preconfigured by the administrator, and / or approved by the security application 105 to provide authentication credentials for accessing the wireless network to the visiting client device 117 It can be specified by the administrator at one time.
이제 도 2-4를 참조하면, 본 개시의 다양한 실시예들에 따라 무선 액세스 포인트(101)에 의해 수행되는 보안 어플리케이션(105)이 어떻게 무선 네트워크를 관리할 수 있는지의 다양한 비한정적인 예들을 보여준다. 도 2는 무선 액세스 포인트(101) 및 방문 클라이언트 장치(117) 간의 데이터 흐름의 일 예를 도시한다. 도 2에 나타난 것과 같이, 액세스 포인트(101)을 통해 무선 네트워크에의 액세스를 얻기 위해 방문 클라이언트 장치(117)에 의해 또는 그를 위하여 전송된 요청(201)은 보안 어플리케이션(105)에 의해 얻어진다. 위에 언급한 바와 같이, 그러한 요청은 WPS 세션의 일부로서 수신될 수 있다. 그러한 요청을 수신한 때, 보안 어플리케이션은 방문 클라이언트 장치(117)에 대하여 고유한 해제 가능한 키(111) 그리고/또는 기타 인증 자격을 생성할 수 있다. 2-4, there are shown various non-limiting examples of how a security application 105 performed by a wireless access point 101 can manage a wireless network in accordance with various embodiments of the present disclosure . 2 shows an example of the data flow between the wireless access point 101 and the visiting client device 117. [ As shown in FIG. 2, a request 201 sent by or for the visiting client device 117 to obtain access to the wireless network via the access point 101 is obtained by the security application 105. As mentioned above, such a request may be received as part of a WPS session. Upon receiving such a request, the security application may generate a unique revocable key 111 and / or other authentication credentials for the visiting client device 117.
해제 가능한 키(111) 그리고/또는 무선 보안 프로토콜에 따른 기타 모든 정보는 방문 클라이언트 장치(117)에게 전송된다. 따라서, 무선 액세스 포인트(101)와 방문 클라이언트 장치(117)은 최소한 해제 가능한 키(111)에 기초하여 페어링 절차(pairing process)를 완료할 수 있다. 해제 이벤트(203)를 감지한 경우, 보안 어플리케이션(105)는 해제 가능한 키(111)를 해제하고 방문 클라이언트 장치(117)로부터 무선 액세스 포인트(101)를 분리할 수 있다. 도2에 도시된 것은, 방문 클라이언트 장치(117)의 관점에서, 사전-공유 키를 수반하는 WPA 그리고/또는 WPA2 무선 보안과 연관된 무선 보안 파라미터의 전형적인 WPS 구성으로 보일 수 있다. 이런 의미에서, 요청(201)은 WPS 세션의 초기화와 연관된 물리 또는 가상 버튼을 작동한 결과로 얻어질 수 있다. 그러나, 방문 클라이언트 장치(117)와 액세스 포인트(101) 간의 페어링이 기반이 된 사전-공유 키는 위에 설명한 바와 같이 마스터 사전-공유 키(107)가 아니다.  The releasable key 111 and / or any other information according to the wireless security protocol is transmitted to the visiting client device 117. [ Thus, the wireless access point 101 and the visiting client device 117 can complete the pairing process based on at least the releasable key 111. [ The security application 105 can release the releasable key 111 and detach the wireless access point 101 from the visiting client device 117. [ 2 may be seen from a point of view of the visited client device 117 as a typical WPS configuration of wireless security parameters associated with WPA and / or WPA2 wireless security involving a pre-shared key. In this sense, the request 201 can be obtained as a result of operating a physical or virtual button associated with the initialization of the WPS session. However, the pre-shared key on which the pairing between the visiting client device 117 and the access point 101 is based is not the master pre-shared key 107 as described above.
이제 도 3을 참조하면, 본 개시의 일 실시예에 따라 방문 클라이언트 장치(117)와 무선 액세스 포인트(101) 간의 페어링의 대안적인 예를 나타낸다. 도 3은, 네트워크에 가입하기 위해 방문 클라이언트 장치(117)로부터 또는 그를 위한 요청(201)을 얻은 경우, 보안 어플리케이션(105)이 관리자가 네트워크에 가입 위한 방문 클라이언트 장치(117)를 인가하도록 관리 클라이언트 장치(115)로부터 인가를 어떻게 요청할 수 있는지 나타낸다. 관리 클라이언트 장치(115)로부터 허가를 수신한 때, 위에 설명한 것과 같이 보안 어플리케이션(105)는 방문 클라이언트 장치(117)와 연관된 해제 가능한 키(111)를 생성하고, 방문 클라이언트 장치(117)에게 인증 자격을 전송할 수 있다. 도 4는 관리 클라이언트 장치(115)가 무선 액세스 포인트(101)에게 해제 명령을 발부할 수 있고, 이것이 방문 클라이언트 장치들(117)과 연관된 하나 이상의 해제 가능한 키들(111)과 대응하는 인증 자격들을 폐기할 수 있게하는 예들의 추가적인 변형을 나타낸다. 이런 방법으로, 관리자는 무선 네트워크로의 액세스를 가지는 방문 클라이언트 장치들(117)의 액세스를 관리할 수 있다. Referring now to FIG. 3, there is shown an alternative example of pairing between a visiting client device 117 and a wireless access point 101 in accordance with an embodiment of the present disclosure. 3 illustrates that when a request 201 for or from a visiting client device 117 has been obtained to join the network, the security application 105 may request the visiting client device 117 to authorize the visiting client device 117 to join the network. And how to request authorization from the device 115. The security application 105 generates a releasable key 111 associated with the visiting client device 117 and sends the authentication request to the visiting client device 117 as an authentication credential Lt; / RTI > 4 shows an example in which the management client device 115 can issue a release order to the wireless access point 101 which discards the authentication credentials associated with the one or more revocable keys 111 associated with the visiting client devices 117 Lt; RTI ID = 0.0 > example. ≪ / RTI > In this way, the administrator can manage the access of visited client devices 117 having access to the wireless network.
다음에 도 5를 참조하면, 다양한 실시예들에 따라 무선 액세스 포인트(101)(도 1)에서 수행될 수 있는 보안 어플리케이션(105)(도 1)의 일부의 동작의 예를 제공하는 흐름도를 보여준다. 도 5의 흐름도가 단순히 여기에 설명하는 보안 어플리케이션(105)의 일부의 동작을 구현하기 위해 사용할 수 있는 많은 다른 종류의 기능적 방식들의 하나의 예를 제공한다는 것을 이해할 수 있다. 대안으로서, 도 5의 흐름도는 하나 이상의 실시예들에 따른 무선 액세스 포인트(101)에서 구현된 방법의 단계들의 하나의 예를 도시한 것으로 볼 수 있다. Referring now to Figure 5, there is shown a flow chart that provides an example of the operation of a portion of the security application 105 (Figure 1) that may be performed in the wireless access point 101 (Figure 1) in accordance with various embodiments . It will be appreciated that the flow diagram of FIG. 5 merely provides an example of many different kinds of functional schemes that can be used to implement the operation of some of the security applications 105 described herein. Alternatively, the flow diagram of FIG. 5 may be seen as showing an example of steps of a method implemented in a wireless access point 101 in accordance with one or more embodiments.
먼저, 박스(501)에서, 무선 액세스 포인트(101)는 특정 무선 네트워크 SSID와 연관된 마스터 사전-공유 키를 수립할 수 있다. 마스터 사전-공유 키는 다양한 무선 보안 프로토콜들(WPA, WPA2, 등)에 따른 키를 포함하는데, 이것으로부터 홈 클라이언트 장치(113)을 위한 인증 자격들이 도출된다. 박스(503)에서, 보안 어플리케이션(105)는 방문 클라이언트 장치(117)(도 1)으로의 연결을 수립하기 위한 요청을 얻을 수 있다. 위에 언급한 바와 같이, 요청은 WPS 세션의 초기화와 연관될 수 있다. 박스(505)에서, 보안 어플리케이션(105)는 해제 가능한 키(111)를 생성할 수 있다. 해제 가능한 키(111)는 방문 클라이언트 장치(117)에 대해 고유할 수 있어, 네트워크의 임의의 다른 장치들은 다른 사전-공유 키와 연관되어 있고, 그것은 마스터 사전-공유 키 이거나 또 다른 해제 가능한 키(111)일 수 있다. First, in box 501, wireless access point 101 may establish a master pre-shared key associated with a particular wireless network SSID. The master pre-shared key includes keys according to various wireless security protocols (WPA, WPA2, etc.) from which authentication credentials for the home client device 113 are derived. At box 503, the security application 105 may obtain a request to establish a connection to the visiting client device 117 (FIG. 1). As mentioned above, the request may be associated with the initialization of the WPS session. At box 505, the security application 105 may generate a releasable key 111. The releasable key 111 may be unique to the visiting client device 117 such that any other device in the network is associated with another pre-shared key, which may be a master pre-shared key or another releasable key 111).
박스(507)에서, 보안 어플리케이션(105)는 해제 가능한 키(111)에 기초한 인증 자격을 생성할 수 있다. 보는 바와 같이, 무선 액세스 포인트(101)에 의해 구현된 무선 보안 프로토콜의 종류에 따라, 인증 자격은 단순히 해제 가능한(111) 그 자체이거나, 해제 가능한 키(111)로부터 도출된 다른 키들 또는 데이터 이거나, 또는 다른 정보일 수 있다. 박스(509)에서, 보안 어플리케이션(105)는 생성된 인증 자격들에 기초하여 무선 액세스 포인트(101)와 방문 클라이언트 장치(117)를 페어링 할 수 있다. 만약 박스(511)에서 후속의 해제 이벤트가 감지되면, 박스(513)에서 보안 어플리케이션(105)은 해제 가능한 키(111)은 폐기할 수 있고, 이 때 무선 액세스 포인트(101)와 방문 클라이언트 장치(117)는 더이상 페어링되지 아니 한다. At box 507, the security application 105 may generate an authentication credential based on the releasable key 111. [ As will be seen, depending on the type of wireless security protocol implemented by the wireless access point 101, the authentication credentials may simply be either releasable 111 itself or other keys or data derived from the releasable key 111, Or other information. At box 509, the security application 105 may pair the wireless access point 101 and the visiting client device 117 based on the generated authentication credentials. If a subsequent release event is detected in box 511, the security application 105 in box 513 may discard the releasable key 111 and the wireless access point 101 and the visiting client device 117 are no longer paired.
도 6은 본 개시의 일 실시예에 따른 무선 액세스 포인트(101)의 개요 블록 선도의 일 예를 나타낸다. 무선 액세스 포인트(101)는 하나 이상의 프로세서 회로를 포함하고, 예를 들어, 프로세서 회로는 프로세서(603)와 메모리(606)를 가지고, 이 둘은 로컬 인터페이스(609)에 결합된다. 이것을 위하여, 무선 액세스 포인트(101)은, 예를 들어, 하나 이상의 범용 컴퓨팅 장치, 하나 이상의 임베디드 컴퓨팅 장치, 라우터, 스위치, 그리고/또는 네트워크(112)(도 1)에 결합될 수 있는 기타 모든 장치를 포함할 수 있다. 보는 바와 같이, 로컬 인터페이스(609)는, 예를 들어, 하나 이상의 데이터 버스 및 동반하는 어드레스/컨트롤 버스 또는 기타 버스 구조를 포함할 수 있다. 로컬 인터페이스(309)에는 또한 하나 이상의 무선 네트워크 인터페이스들(612a ... 612N)과 근거리통신(LAN) 인터페이스(614)가 결합될 수 있다. LAN 인터페이스(614)는 게이트웨이(109)를 네트워크(112)(도 1)로 연결하기 위해 사용된다. 6 illustrates an example of a schematic block diagram of a wireless access point 101 in accordance with one embodiment of the present disclosure. The wireless access point 101 comprises one or more processor circuits, for example, the processor circuit has a processor 603 and a memory 606, both of which are coupled to the local interface 609. To this end, the wireless access point 101 may be coupled to one or more general purpose computing devices, one or more embedded computing devices, routers, switches, and / or any other device . ≪ / RTI > As can be seen, the local interface 609 may include, for example, one or more data buses and accompanying address / control buses or other bus structures. Local interface 309 may also be coupled to one or more wireless network interfaces 612a ... 612N and a local area network (LAN) interface 614. The LAN interface 614 is used to connect the gateway 109 to the network 112 (FIG. 1).
메모리(606)에 저장된 것은 데이터와 프로세서(603)에 의해 실행가능한 여러 구성요소들 둘 다 이다. 특히, 메모리(606)에 저장되고 프로세서(603)에 의해 실행가능한 것은 액세스 포인트 시스템(103), 보안 어플리케이션(105), 그리고 잠재적으로 다른 어플리케이션들이다. 메모리(606)에 또한 저장된 것은 마스터 사전-공유 키(107), 하나 이상의 해제 가능한 키들(111)을 포함하는 클라이언트 표(109), 그리고 기타 데이터 일 수 있다. 덧붙여, 운영체제도 메모리(606)에 저장되고 프로세서(603)에 의해 실행가능하다. 다양한 실시예들에서, 액세스 포인트 시스템(103)과 보안 어플리케이션(105)의 전부 또는 일부는 프로세서(603)에 의해 분리되어 수행되지 아니하는 디지털 로직에 대응할 수 있다. Stored in the memory 606 are both data and various components executable by the processor 603. [ In particular, what is stored in memory 606 and executable by processor 603 are access point system 103, security application 105, and potentially other applications. Also stored in the memory 606 may be a master pre-shared key 107, a client table 109 containing one or more releasable keys 111, and other data. In addition, the operating system is also stored in the memory 606 and executable by the processor 603. In various embodiments, all or a portion of the access point system 103 and the security application 105 may correspond to digital logic that is not performed separately by the processor 603.
다시 도 5를 참조하면, 보는 바와 같이, 메모리(606)에 저장되고 프로세서(603)에 의해 실행가능한 다른 어플리케이션들이 있을 수 있음이 이해된다. 여기에 설명된 어떤 구성요소가 소프트웨어의 형태로 구현되는 경우, 예를 들면, C, C++, C#, Objective C, Java®, JavaScript®, Perl, PHP, Visual Basic®, Python®, Ruby, Delphi®, Flash®, 또는 기타 프로그래밍 언어와 같은, 다수의 프로그래밍 언어들 중 어느 것이라도 사용될 수 있다. 5, it is understood that there may be other applications stored in memory 606 and executable by processor 603, as shown. If any of the components described here are implemented in the form of software, it is possible to use any of the following: C, C ++, C #, Objective C, Java®, JavaScript®, Perl, PHP, Visual Basic®, Python®, Ruby, Delphi® , Flash®, or any other programming language.
다수의 소프트웨어 구성요소들은 메모리(606)에 저장되고 프로세서(603)에 의해 실행가능하다. 이 점에서는, 용어 "실행가능"은 궁극적으로 프로세서(603)에 의해 실행될 수 있는 형태의 프로그램 파일을 의미한다. 실행가능 프로그램들의 예들은, 예를 들면, 메모리(606)의 랜덤 액세스 부분에 로드되어 프로세서(603)에 의해 실행될 수 있는 형식의 기계 코드로 변환될 수 있는 컴파일된 프로그램, 메모리(606)의 랜덤 액세스 부분에 로드되어 프로세서(603)에 의해 수행될 수 있는 객체 코드와 같은 적절한 형식으로 표현될 수 있는 소스 코드, 또는 메모리(606)의 랜덤 액세스 부분에 프로세서(603)에 의해 수행되기 위한 명령들을 생성하기 위해 또다른 실행가능한 프로그램에 의해 인터프리트 될 수 있는 소스 코드 등이 될 수 있다. 실행가능한 프로그램은, 예를 들면, 랜덤 액세스 메모리(RAM), 리드-온리 메모리(ROM), 하드 드라이브, 솔리드-스테이트 드라이브, USB 플래쉬 드라이브, 메모리 카드, 컴팩트 디스크(CD) 또는 디지털 다기능 디스크(DVD)와 같은 광 디스크, 플로피 디스크, 자기 테이프, 또는 기타 메모리 부품들을 포함하는 메모리(606)의 일부 또는 구성요소에 저장될 수 있다. A number of software components are stored in memory 606 and executable by processor 603. In this regard, the term "executable" means a program file that is ultimately executable by the processor 603. Examples of executable programs include, but are not limited to, compiled programs that can be loaded into the random access portion of memory 606 and converted into machine code in a format that can be executed by processor 603, Source code that may be loaded into the access portion and represented in a suitable format such as object code that may be executed by the processor 603 or instructions for executing by the processor 603 on the random access portion of the memory 606 Source code that can be interpreted by another executable program to generate, and so on. Executable programs may be stored in a computer readable storage medium such as, for example, random access memory (RAM), read-only memory (ROM), hard drive, solid-state drive, USB flash drive, memory card, compact disc (CD) ), A floppy disk, a magnetic tape, or other memory component, such as an optical disk, such as a hard disk (e.g.
메모리(606)는 여기에 휘발성 및 비휘발성 메모리와 데이터 저장 부품들 모두를 포함하는 것으로 정의된다. 휘발성 부품들은 전원을 잃었을 때 데이터 값들을 보관하지 아니하는 것들이다. 비휘발성 부품들은 전원을 잃었을 때 데이터를 보관하는 것들이다. 따라서, 메모리(606)는, 예를 들면, 랜덤 액세스 메모리(RAM), 리드-온리 메모리(ROM), 하드 디스크 드라이브, 솔리드-스테이트 드라이브, USB 플래쉬 드라이브, 메모리 카드 리더를 통해 액세스하는 메모리 카드, 연관된 플로피 디스크 드라이브를 통해 액세스하는 플로피 디스크, 광 디스크 드라이브를 통해 액세스하는 광 디스크, 적절한 테이프 드라이브를 통해 액세스하는 자기 테이프, 그리고/또는 기타 메모리 부품들, 또는 어느 둘 이상의 이런 메모리 부품들의 조합을 포함할 수 있다. 덧붙여, RAM은, 예를 들어, 스태틱 랜덤 액세스 메모리(SRAM), 다이나믹 랜덤 액세스 메모리(DRAM), 또는 자기 랜덤 액세스 메모리(MRAM)와 기타 그러한 장치들을 포함할 수 있다. ROM은, 예를 들어, 프로그래머블 리드-온리 메모리(PROM), 소거 프로그래머블 리드-온리 메모리(EPROM), 전자 소거 프로그래머블 리드-온리 메모리(EEPROM), 또는 기타 유사한 메모리 장치를 포함할 수 있다.  Memory 606 is defined herein to include both volatile and non-volatile memory and data storage components. Volatile components are those that do not store data values when power is lost. Non-volatile components are those that store data when power is lost. Thus, the memory 606 may include, for example, a random access memory (RAM), a read-only memory (ROM), a hard disk drive, a solid-state drive, a USB flash drive, a memory card accessed through a memory card reader, A floppy disk accessed through an associated floppy disk drive, an optical disk accessed through an optical disk drive, a magnetic tape accessed through a suitable tape drive, and / or other memory components, or a combination of any two or more of these memory components can do. In addition, the RAM may include, for example, static random access memory (SRAM), dynamic random access memory (DRAM), or magnetic random access memory (MRAM) and other such devices. ROM may include, for example, a programmable read-only memory (PROM), an erasable programmable read-only memory (EPROM), an electronic erasure programmable read-only memory (EEPROM), or other similar memory device.
또한, 프로세서(603)는 병렬 처리 회로에서 동작하는 복수의 프로세서들(603)을 나타낼 수 있고, 메모리(606)는 병렬 처리 회로에서 동작하는 복수의 메모리들(606)을 나타낼 수 있다. 이런 경우에, 로컬 인터페이스(609)는 복수의 프로세서들(603) 중 어느 둘 간의, 어느 프로세서(603)와 메모리들(603) 중 어느것 간의, 또는 메모리들(606) 중 어느 둘 간의 등 통신을 용이하게 하는 적절한 네트워크 일 수 있다. 로컬 인터페이스(609)는, 예를 들어, 로드 밸런싱의 수행을 포함하는 이 통신을 조직화 하기 위해 설계된 추가적인 시스템들을 포함할 수 있다. 프로세서(603)는 전기적 또는 기타 다른 가능한 양식일 수 있다. In addition, the processor 603 may represent a plurality of processors 603 operating in a parallel processing circuit, and the memory 606 may represent a plurality of memories 606 operating in a parallel processing circuit. In this case, the local interface 609 may communicate between any two of the plurality of processors 603, either between the processor 603 and the memories 603, or between any two of the memories 606, Lt; RTI ID = 0.0 > a < / RTI > Local interface 609 may include additional systems designed to organize this communication, including, for example, performing load balancing. The processor 603 may be in an electrical or other possible form.
비록 액세스 포인트 시스템(103), 보안 어플리케이션(105), 그리고 여기에 설명한 다양한 시스템들이 위에 설명한 대로 범용 하드웨어에 의해 실행되는 소프트웨어 또는 코드로 구현될 수 있지만, 대안으로서 이와 동일한 것이 전용 하드웨어 또는 소프트웨어/범용 하드웨어와 전용 하드웨어의 조합으로 구현될 수도 있다. 전용 하드웨어로 구현될 경우, 각각은 여러 기술들의 어느 하나 또는 그조합을 사용하는 회로 또는 상태 기계로써 구현될 수 있다. 이 기술들은 하나 이상의 데이터 신호들의 어플리케이션 상의 다양한 로직 기능들을 구현하기 위한 로직 게이트들을 가지는 이산 로직 회로들, 적절한 로직 게이트들을 가지는 어플리케이션 특정 통합 회로들, 또는 기타 구성요소들 등을, 비한정적으로, 포함할 수 있다. 그러한 기술들은 당업자들에게 일반적으로 잘 알려져 있고, 따라서, 여기에 상세히 설명하지 아니 한다. Although the access point system 103, security application 105, and various systems described herein may be implemented in software or code that is executed by general purpose hardware as described above, alternatively, the same is true for dedicated hardware or software / And may be implemented by a combination of hardware and dedicated hardware. When implemented in dedicated hardware, each may be implemented as a circuit or state machine using any one or a combination of techniques. These techniques include, but are not limited to, discrete logic circuits having logic gates for implementing various logic functions on the application of one or more data signals, application specific integrated circuits with appropriate logic gates, or other components, can do. Such techniques are generally known to those skilled in the art and, therefore, are not described in detail herein.
도 5의 흐름도는 보안 어플리케이션(105)의 일 예의 구현의 기능과 동작을 나타낸다. 만약 소프트웨어로 구현된 경우, 각 블록은 지정된 로직 기능(들)을 구현하기 위한 프로그램 명령들을 포함하는 모듈, 세그먼트, 또는 코드의 일부를 나타낼 수 있다. 프로그램 명령들은 컴퓨터 시스템 또는 기타 시스템에서 프로세서(603)와 같은 적절한 실행 시스템에 의해 인식될 수 있는 수치적 명령들을 포함하는 프로그래밍 언어 또는 기계 코드에 쓰여진 인간이 이해할 수 있는 표현들을 포함하는 소스 코드의 형태로 구현될 수 있다. 기계 코드는 소스 코드 등으로부터 변환될 수 있다. 만약 하드웨어로 구현된 경우, 각 블록은 지정된 로직 기능(들)을 구현하기 위한 회로 또는 복수의 상호연결된 회로들을 나타낼 수 있다. The flow diagram of FIG. 5 illustrates the functionality and operation of an example implementation of the security application 105. If implemented in software, each block may represent a module, segment, or portion of code that includes program instructions for implementing the specified logic function (s). The program instructions may be in the form of source code including human-readable representations written in a programming language or machine code, including numerical instructions that can be recognized by a suitable execution system, such as processor 603, in a computer system or other system . ≪ / RTI > The machine code can be converted from a source code or the like. If implemented in hardware, each block may represent a circuit or a plurality of interconnected circuits for implementing the specified logic function (s).
비록 도 5의 흐름도가 실행의 특정 순서를 나타내지만, 실행의 순서는 도시된 것과 다를 수 있음이 이해될 수 있다. 예를 들어, 둘 이상의 블록들의 실행의 순서는 도시된 순서에 대하여 뒤바뀔 수 있다. 또한, 도 5에서 연속으로 도시된 둘 이상의 블록들은 동시에 또는 부분적으로 동시에 실행될 수 있다. 나아가, 일부 실행예들에서, 도 5의 하나 이상의 블록들은 생략되거나 누락될 수 있다. 덧붙여, 더 높은 유용성, 과금(accounting), 성능 측정, 또는 장애진단(troubleshooting) 지원의 제공 등의 목적을 위하여, 여기에 설명된 논리적 흐름에 카운터, 상태 변수, 경고 세마포어(warning semaphores), 또는 메시지가 얼마든지 추가될 수 있다. 모든 그러한 변형들이 본 개시의 범위에 포함되는 것임이 이해될 수 있다. Although the flowchart of FIG. 5 shows a particular order of execution, it can be appreciated that the order of execution may be different from that shown. For example, the order of execution of two or more blocks may be reversed for the order shown. Further, two or more blocks shown in succession in Fig. 5 may be executed simultaneously or partially at the same time. Further, in some implementations, one or more blocks of FIG. 5 may be omitted or omitted. In addition, for purposes such as providing higher availability, accounting, performance measurement, or troubleshooting assistance, the logical flow described herein may include counters, status variables, warning semaphores, Can be added in any amount. It is to be understood that all such modifications are intended to be included within the scope of the present disclosure.
또한, 액세스 포인트 시스템(103), 보안 어플리케이션(105)을 포함하는, 여기에 설명한 모든 로직 또는 어플리케이션, 또는 소프트웨어 또는 코드를 포함하는, 여기에 설명한 모든 기타 데이터 또는 프로세서들은, 예를 들어, 컴퓨터 시스템 또는 다른 시스템 내의 프로세서(603)와 같이, 명령 실행 시스템에 의해 또는 그와 연결해서 사용하기 위한 모든 비일시적 컴퓨터가 읽어들일 수 있는 매체로 구현될 수 있다. 이런 의미에서, 로직은,예를 들어, 컴퓨터가 읽어들일 수 있는 매체로부터 불러오고 명령 실행 시스템에 의해 실행될 수 있는 명령들과 선언들을 포함하는 명령문들을 포함할 수 있다. 본 개시의 문맥에서, "컴퓨터가 읽어들일 수 있는 매체"는 명령 실행 시스템에 의해 또는 그와 연결하여 사용하기 위해 여기에 설명한 로직 또는 어플리케이션을 포함, 저장, 또는 유지할 수 있는 모든 매체가 될 수 있다. 컴퓨터가 읽어들일 수 있는 매체는, 예를 들어, 자기, 광, 또는 반도체 매체와 같은, 많은 물리적 매체 중 어느 것도 포함할 수 있다. 적합한 컴퓨터가 읽어들일 수 있는 매체의 더 구체적인 예들은 자기 테이프, 자기 플로피 디스켓, 자기 하드 드라이브, 메모리 카드, 솔리드-스테이트 드라이브, USB 플래쉬 드라이브, 또는 광 디스크를 비한정적으로 포함할 수 있다. 또한, 컴퓨터가 읽어들일 수 있는 매체는, 예를 들면, 스태틱 랜덤 액세스 메모리(SRAM)와 다이나믹 랜덤 액세스 메모리(DRAM), 또는 자기 랜덤 액세스 메모리(MRAM)를 포함하는 랜덤 액세스 메모리(RAM) 일 수 있다. 덧붙여, 컴퓨터가 읽어들일 수 있는 매체는 리드-온리 메모리(ROM), 프로그래머블 리드-온리 메모리(PROM), 소거 프로그래머블 리드-온리 메모리(EPROM), 전자 소거 프로그래머블 리드-온리 메모리(EEPROM), 또는 다른 종류의 메모리 장치 일 수 있다. All of the other data or processors described herein, including all the logic or applications described herein, or software or code, including the access point system 103, security application 105, Or any non-volatile computer readable medium for use by or in connection with an instruction execution system, such as processor 603 in another system. In this sense, the logic may include, for example, instructions that are fetched from a computer readable medium and include instructions and declarations that may be executed by the instruction execution system. In the context of this disclosure, "computer readable media" may be any medium capable of containing, storing, or retaining the logic or applications described herein for use by or in connection with an instruction execution system . The computer readable medium may include any of a number of physical media, such as, for example, magnetic, optical, or semiconductor media. More specific examples of suitable computer readable media can include, but are not limited to, a magnetic tape, magnetic floppy diskette, magnetic hard drive, memory card, solid-state drive, USB flash drive, or optical disk. The computer readable medium may also be, for example, a random access memory (RAM) including static random access memory (SRAM) and dynamic random access memory (DRAM) or magnetic random access memory have. In addition, the computer readable medium may be a read-only memory (ROM), a programmable read-only memory (PROM), an erasable programmable read-only memory (EPROM), an electronic erasure programmable read-only memory (EEPROM) Type memory device.
본 개시의 위에 설명한 실시예들은 단순히 구현들의 가능한 예들일 뿐이고, 단순히 본 발명의 원리들의 명백한 이해를 위하여 제시된 것일 뿐임이 강조되어야 한다. 본 발명의 정신과 원리들에서 실질적으로 벗어나지 않고 본 발명의 위에 설명한 실시예(들)에 대하여 많은 변형들과 개조들이 만들어 질 수 있다. 모든 그러한 개조들과 변형들은 여기서 본 개시와 본 발명의 범위에 포함되고 다음 청구항들에 의해 보호되도록 의도된다. It should be emphasized that the above-described embodiments of the present disclosure are merely possible examples of implementations, and are merely presented for a clear understanding of the principles of the present invention. Many modifications and alterations can be made to the above-described embodiment (s) of the invention without departing substantially from the spirit and principles of the invention. All such modifications and variations are intended to be included herein within the scope of this disclosure and the present invention and protected by the following claims.

Claims (15)

  1. 무선 액세스 포인트(wireless Access Point)에 있어서,
    적어도 하나의 프로세서; 및
    상기 적어도 하나의 프로세서에 의해 실행가능한 보안 어플리케이션(security application)을 포함하고,
    상기 보안 어플리케이션은,
    서비스 세트 식별자(SSID : service set identifier)와 연관된(associated) 무선 네트워크, 상기 무선 네트워크와 연관된 마스터 사전-공유 키(pre-shared key)를 수립하는 로직(logic);
    클라이언트 장치와 상기 무선 네트워크의 연결을 수립하기 위한 요청을 얻는 로직;
    상기 클라이언트 장치를 위해 상기 사전-공유 키와 다른 해제 가능한 키를 생성하는 로직;
    적어도 상기 해제 가능한 키에 기반하여 인증 자격(authentication credential)을 생성하는 로직;
    적어도 상기 해제 가능한 키에 기반한 인증 자격을 상기 클라이언트 장치로 전송하는 로직;
    상기 클라이언트에 관하여 해제 이벤트가 발생했는지 결정하는 로직;
    상기 해제 이벤트가 발생한 경우 상기 해제 가능한 키를 폐기하는 로직; 및
    상기 클라이언트 장치와 연관된 고유 식별자를 결정하는 로직;을 포함하되, 상기 해제 가능한 키는 적어도 상기 고유 식별자에 기반하는, 무선 액세스 포인트.
    In a wireless access point,
    At least one processor; And
    A security application executable by the at least one processor,
    The security application,
    A wireless network associated with a service set identifier (SSID); logic for establishing a master pre-shared key associated with the wireless network;
    Logic for obtaining a request to establish a connection between the client device and the wireless network;
    Logic for generating the pre-shared key and another releasable key for the client device;
    Logic for generating an authentication credential based at least on the releasable key;
    Logic for transmitting at least the authentication credentials based on the releasable key to the client device;
    Logic for determining if a release event has occurred with respect to the client;
    Logic to discard the releasable key if the releasing event occurs; And
    Logic for determining a unique identifier associated with the client device, wherein the releasable key is based on at least the unique identifier.
  2. 청구항 1에 있어서,
    상기 보안 어플리케이션은 상기 인증 자격을 상기 클라이언트로 전송하기 전에 상기 클라이언트 장치에게 상기 무선 네트워크로의 액세스를 승인하기 위한 관리상의 인가를 얻는 로직을 더 포함하는, 무선 액세스 포인트.
    The method according to claim 1,
    Wherein the security application further comprises logic to obtain an administrative authorization for granting access to the wireless network to the client device prior to sending the authentication credential to the client.
  3. 삭제delete
  4. 청구항 1에 있어서,
    상기 인증 자격은 PMK(pairwise master key)를 포함하는, 무선 액세스 포인트.
    The method according to claim 1,
    Wherein the authentication credential includes a pairwise master key (PMK).
  5. 청구항 1에 있어서,
    상기 해제 가능한 키는 상기 클라이언트 장치와 고유하게 연관되고, 상기 해제 가능한 키는 상기 보안 어플리케이션에 의해 생성되는, 무선 액세스 포인트.
    The method according to claim 1,
    Wherein the releasable key is uniquely associated with the client device and the releasable key is generated by the security application.
  6. 청구항 1에 있어서,
    상기 무선 네트워크로의 상기 연결을 수립하기 위한 상기 클라이언트 장치로부터의 요청을 얻는 상기 로직은 인증 자격이 상기 적어도 하나의 프로세서에 의해 생성되고 그리고 상기 클라이언트 장치로 전송되는 세션을 시작하기 위한 요청을 얻는 로직을 더 포함하는, 무선 액세스 포인트.
    The method according to claim 1,
    Wherein the logic for obtaining a request from the client device for establishing the connection to the wireless network includes a logic to generate a request for initiating a session in which an authentication credential is generated by the at least one processor and sent to the client device, The wireless access point.
  7. 청구항 6에 있어서,
    상기 세션은 WPS(Wi-Fi protected setup)세션을 더 포함하는, 무선 액세스 포인트.
    The method of claim 6,
    Wherein the session further comprises a Wi-Fi protected setup (WPS) session.
  8. 청구항 1에 있어서,
    상기 보안 어플리케이션은 무선 보안 프로토콜을 사용하여 상기 무선 네트워크를 보호하는 로직을 더 포함하고,
    상기 무선 보안 프로토콜은,
    WPA (Wi-Fi Protected Access) 및
    WPA2(Wi-Fi Protected Access II) 중 하나를 포함하는, 무선 액세스 포인트.
    The method according to claim 1,
    The security application further comprising logic for protecting the wireless network using a wireless security protocol,
    The wireless security protocol comprising:
    Wi-Fi Protected Access (WPA) and
    And Wi-Fi Protected Access II (WPA2).
  9. 청구항 8에 있어서,
    상기 보안 어플리케이션은 상기 클라이언트 장치와 연관된 통신 세션을 수립하는 로직을 더 포함하고,
    상기 통신 세션은 암호화 무선 통신 세션을 포함하고, 상기 암호화된 무선 통신 세션은 상기 인증 자격을 사용하여 암호화되는, 무선 액세스 포인트.
    The method of claim 8,
    The security application further comprising logic to establish a communication session associated with the client device,
    Wherein the communication session comprises an encrypted wireless communication session and the encrypted wireless communication session is encrypted using the authentication credentials.
  10. 청구항 1에 있어서,
    상기 클라이언트에 관하여 해제 이벤트가 발생했는지 결정하는 로직은,
    상기 무선 네트워크상에서 상기 클라이언트 장치와 연관된 데이터 사용량을 추적하는 로직;
    상기 데이터 사용이 사용 한도(usage cap)를 초과하는지 결정하는 로직; 및
    상기 데이터 사용이 상기 사용 한도를 초과한 경우 해제 이벤트로 식별하는 로직을 더 포함하는, 무선 액세스 포인트.
    The method according to claim 1,
    The logic for determining if a release event has occurred with respect to the client,
    Logic for tracking data usage associated with the client device on the wireless network;
    Logic for determining if the usage of the data exceeds a usage cap; And
    And logic to identify the event as a release event if the usage of the data exceeds the usage limit.
  11. 청구항 1에 있어서,
    상기 클라이언트에 관하여 해제 이벤트가 발생했는지 결정하는 로직은,
    적어도 상기 해제 가능한 키에 기초한 상기 인증 자격을 생성한 후 경과된 시간(elapsed time)의 양을 확인하는 로직;
    상기 시간의 양이 소정의 임계값(threshold)을 초과하는지 결정하는 로직; 및
    상기 시간의 양이 상기 소정의 임계값을 초과한 때 해제 이벤트로 식별하는 로직을 더 포함하는, 무선 액세스 포인트.
    The method according to claim 1,
    The logic for determining if a release event has occurred with respect to the client,
    Logic for determining an amount of elapsed time after generating the authentication credential based at least on the releasable key;
    Logic for determining if the amount of time exceeds a predetermined threshold; And
    And logic to identify a release event when the amount of time exceeds the predetermined threshold.
  12. 청구항 1에 있어서,
    상기 클라이언트에 관하여 해제 이벤트가 발생하였는지 결정하는 상기 로직은 상기 해제 가능한 키와 상기 인증 자격 중 적어도 하나에 연관된 해제 명령을 수신하는 로직을 더 포함하는, 무선 액세스 포인트.
    The method according to claim 1,
    Wherein the logic for determining whether a release event has occurred with respect to the client further comprises logic to receive a release command associated with at least one of the release key and the authentication credentials.
  13. 무선 액세스 포인트에서, 서비스 세트 식별자(SSID)와 연관된 무선 네트워크,상기 무선 네트워크와 연관된 마스터 사전-공유 키를 수립하는 단계;
    상기 무선 액세스 포인트에서, 클라이언트 장치와 상기 무선 네트워크의 연결을 수립하기 위한 요청을 얻는 단계;
    상기 무선 액세스 포인트에서, 상기 클라이언트 장치를 위해 상기 사전-공유 키와 다른 해제 가능한 키를 생성하는 단계;
    상기 무선 액세스 포인트에서, 적어도 상기 해제 가능한 키에 기반하여 인증 자격을 생성하는 단계;
    상기 무선 액세스 포인트에서, 적어도 상기 해제 가능한 키에 기반한 인증 자격을 상기 클라이언트 장치로 전송하는 단계;
    상기 무선 액세스 포인트에서, 상기 클라이언트에 관하여 해제 이벤트가 발생했는지 결정하는 단계; 및
    상기 무선 액세스 포인트에서, 상기 해제 이벤트가 발생한 경우 상기 해제 가능한 키를 폐기하는 단계를 포함하되,
    상기 해제 가능한 키는 적어도 상기 클라이언트 장치와 연관된 고유 식별자 에 기반하는, 방법.
    At a wireless access point, establishing a wireless network associated with a service set identifier (SSID), a master pre-shared key associated with the wireless network;
    Obtaining, at the wireless access point, a request to establish a connection between the client device and the wireless network;
    Generating, at the wireless access point, a different releasable key from the pre-shared key for the client device;
    Generating, at the wireless access point, an authentication credential based at least on the revocable key;
    Sending, at the wireless access point, authentication credentials based on at least the releasable key to the client device;
    Determining, at the wireless access point, whether a release event has occurred with respect to the client; And
    At the wireless access point, discarding the releasable key when the release event occurs,
    Wherein the releasable key is based at least on a unique identifier associated with the client device.
  14. 청구항 13에 있어서,
    상기 무선 액세스 포인트에서,
    상기 인증 자격을 상기 클라이언트 장치로 전송하기 전에 상기 클라이언트 장치에게 상기 무선 네트워크로의 액세스를 승인하기 위한 관리상의 인가를 얻는 단계를 더 포함하는, 방법.
    14. The method of claim 13,
    At the wireless access point,
    Further comprising obtaining an administrative authorization to authorize access to the wireless network to the client device before transmitting the authentication credential to the client device.
  15. 서비스 세트 식별자(SSID)와 연관된 무선 네트워크, 상기 무선 네트워크와 연관된 마스터 사전-공유 키를 수립하는 수단;
    클라이언트 장치와 상기 무선 네트워크의 연결을 수립하기 위한 요청을 얻는 수단;
    상기 클라이언트 장치를 위해 상기 사전-공유 키와 다른 해제 가능한 키를 생성하는 수단;
    적어도 상기 해제 가능한 키에 기반하여 인증 자격을 생성하는 수단;
    적어도 상기 해제 가능한 키에 기반한 인증 자격을 상기 클라이언트 장치로 전송하는 수단;
    상기 클라이언트에 관하여 해제 이벤트가 발생했는지 결정하는 수단;
    상기 해제 이벤트가 발생한 때 상기 해제 가능한 키를 폐기하는 수단; 및
    상기 클라이언트 장치와 연관된 고유 식별자를 결정하는 수단;을 포함하되, 상기 해제 가능한 키는 적어도 상기 고유 식별자에 기반하는, 시스템.
    A wireless network associated with a service set identifier (SSID), means for establishing a master pre-shared key associated with the wireless network;
    Means for obtaining a request to establish a connection between the client device and the wireless network;
    Means for generating a pre-shared key and another releasable key for the client device;
    Means for generating an authentication credential based at least on the releasable key;
    Means for transmitting an authentication credential based on at least the releasable key to the client device;
    Means for determining if a release event has occurred with respect to the client;
    Means for discarding the releasable key when the release event occurs; And
    Means for determining a unique identifier associated with the client device, wherein the releasable key is based at least on the unique identifier.
KR1020120098075A 2011-12-22 2012-09-05 Revocable security system and method for wireless access points KR101437026B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US13/334,615 US20130166910A1 (en) 2011-12-22 2011-12-22 Revocable Security System and Method for Wireless Access Points
US13/334,615 2011-12-22

Publications (2)

Publication Number Publication Date
KR20130079120A KR20130079120A (en) 2013-07-10
KR101437026B1 true KR101437026B1 (en) 2014-09-02

Family

ID=46796220

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120098075A KR101437026B1 (en) 2011-12-22 2012-09-05 Revocable security system and method for wireless access points

Country Status (5)

Country Link
US (1) US20130166910A1 (en)
EP (1) EP2608447A3 (en)
KR (1) KR101437026B1 (en)
CN (1) CN103179560A (en)
TW (1) TWI535305B (en)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013160525A1 (en) * 2012-04-26 2013-10-31 Nokia Corporation Method and apparatus for controlling wireless network access parameter sharing
US9655012B2 (en) 2012-12-21 2017-05-16 Qualcomm Incorporated Deriving a WLAN security context from a WWAN security context
US9282457B2 (en) * 2013-02-05 2016-03-08 Mediatek Inc. Method of sharing credential and wireless communication system thereof
US9491621B2 (en) * 2013-09-10 2016-11-08 Qualcomm Incorporated Systems and methods for fast initial link setup security optimizations for PSK and SAE security modes
CN103475667A (en) * 2013-09-24 2013-12-25 小米科技有限责任公司 Method, device and system for controlling access router
US9686819B2 (en) * 2013-09-24 2017-06-20 Xiaomi Inc. Methods, devices and systems for router access control
US10039002B2 (en) 2013-11-04 2018-07-31 Microsoft Technology Licensing, Llc Shared Wi-Fi usage
EP2874422B1 (en) * 2013-11-15 2016-08-10 Vodafone Holding GmbH Simplified wi-fi setup
WO2015089448A1 (en) * 2013-12-13 2015-06-18 University Of North Dakota Smart grid secure communications method and apparatus
EP3076710B1 (en) * 2013-12-27 2020-04-08 Huawei Technologies Co., Ltd. Offload method, user equipment, base station and access point
FR3018979A1 (en) * 2014-03-21 2015-09-25 Orange TEMPORARY ACCESS CONTROL TO A LOCAL NETWORK
US9336378B2 (en) 2014-03-31 2016-05-10 Google Inc. Credential sharing
GB2525237B (en) * 2014-04-17 2021-03-17 Advanced Risc Mach Ltd Reorder buffer permitting parallel processing operations with repair on ordering hazard detection within interconnect circuitry
US20160037338A1 (en) * 2014-07-30 2016-02-04 Symbol Technologies, Inc. Private wireless communication network for guest users
CN105516074A (en) * 2014-10-20 2016-04-20 中兴通讯股份有限公司 Method and terminal for detecting wireless network access security
US9369868B2 (en) * 2014-10-21 2016-06-14 The Boeing Company System and method for secure wireless communications between a vehicle and a source
CN105828330B (en) * 2015-01-07 2019-12-27 阿里巴巴集团控股有限公司 Access method and device
JP2016167795A (en) * 2015-03-02 2016-09-15 株式会社リコー Communication device, communication method, system, and program
US9760722B2 (en) * 2015-07-31 2017-09-12 Kofax International Switzerland Sarl Method for reporting and addressing an unauthorized disclosure of classified information at an imaging device
CN105376738B (en) * 2015-09-30 2019-04-19 小米科技有限责任公司 Wireless network access method, device and system
US10341320B2 (en) 2016-01-19 2019-07-02 Aerohive Networks, Inc. BYOD credential management
US10445957B2 (en) * 2016-05-31 2019-10-15 Nokia Technologies Oy Method and apparatus for proxying access commands to smart object(s) in response to an emergency condition
WO2017218694A1 (en) * 2016-06-14 2017-12-21 Aerohive Networks, Inc. Seamless wireless device onboarding

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007208816A (en) 2006-02-03 2007-08-16 Ricoh Co Ltd Radio lan system, radio lan device, radio lan communication authentication method, and program
KR20080018213A (en) * 2005-06-30 2008-02-27 루센트 테크놀러지스 인크 Method for distributing security keys during hand-off in a wireless communication system
KR20090051268A (en) * 2006-09-07 2009-05-21 모토로라 인코포레이티드 Method and apparatus for establishing security associations between nodes of an ad hoc wireless network
KR20090121354A (en) * 2007-02-21 2009-11-25 콸콤 인코포레이티드 Wireless node search procedure

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6691227B1 (en) * 2000-09-08 2004-02-10 Reefedge, Inc. Location-independent packet routing and secure access in a short-range wireless networking environment
US7340603B2 (en) * 2002-01-30 2008-03-04 Sony Corporation Efficient revocation of receivers
US7325133B2 (en) * 2003-10-07 2008-01-29 Koolspan, Inc. Mass subscriber management
US7395427B2 (en) * 2003-01-10 2008-07-01 Walker Jesse R Authenticated key exchange based on pairwise master key
US7505596B2 (en) * 2003-12-05 2009-03-17 Microsoft Corporation Automatic detection of wireless network type
US7885636B2 (en) * 2006-01-31 2011-02-08 United States Cellular Corporation Data pre-paid in simple IP data roaming
KR100754207B1 (en) * 2006-02-15 2007-09-03 삼성전자주식회사 Method and apparatus for executing an application automatically according to the approach of wireless device
US7804807B2 (en) * 2006-08-02 2010-09-28 Motorola, Inc. Managing establishment and removal of security associations in a wireless mesh network
TW200937928A (en) * 2008-02-20 2009-09-01 Tatung Co Method for generating one-time-password
KR101556226B1 (en) * 2008-03-14 2015-09-30 삼성전자주식회사 Method and apparatus for wireless ad-hoc network setup
US8140853B2 (en) * 2008-07-01 2012-03-20 International Business Machines Corporation Mutually excluded security managers
US8578473B2 (en) * 2009-03-25 2013-11-05 Lsi Corporation Systems and methods for information security using one-time pad
CN102812662B (en) * 2010-03-29 2015-04-29 英特尔公司 Methods and apparatuses for administrator-driven profile update
US8948382B2 (en) * 2010-12-16 2015-02-03 Microsoft Corporation Secure protocol for peer-to-peer network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080018213A (en) * 2005-06-30 2008-02-27 루센트 테크놀러지스 인크 Method for distributing security keys during hand-off in a wireless communication system
JP2007208816A (en) 2006-02-03 2007-08-16 Ricoh Co Ltd Radio lan system, radio lan device, radio lan communication authentication method, and program
KR20090051268A (en) * 2006-09-07 2009-05-21 모토로라 인코포레이티드 Method and apparatus for establishing security associations between nodes of an ad hoc wireless network
KR20090121354A (en) * 2007-02-21 2009-11-25 콸콤 인코포레이티드 Wireless node search procedure

Also Published As

Publication number Publication date
TWI535305B (en) 2016-05-21
TW201328384A (en) 2013-07-01
EP2608447A2 (en) 2013-06-26
EP2608447A3 (en) 2013-11-06
KR20130079120A (en) 2013-07-10
US20130166910A1 (en) 2013-06-27
CN103179560A (en) 2013-06-26

Similar Documents

Publication Publication Date Title
US20180248694A1 (en) Assisted device provisioning in a network
US10027664B2 (en) Secure simple enrollment
Santoso et al. Securing IoT for smart home system
JP6812421B2 (en) Equipment and methods for mobility procedures involving mobility management entity relocation
EP2936372B1 (en) Hardware-based device authentication
US10178181B2 (en) Interposer with security assistant key escrow
EP3158707B1 (en) Authentication of devices having unequal capabilities
TWI672933B (en) User-plane security for next generation cellular networks
KR102021213B1 (en) End-to-end service layer authentication
US10122685B2 (en) Method for automatically establishing wireless connection, gateway device and client device for internet of things using the same
US9049184B2 (en) System and method for provisioning a unique device credentials
US8438631B1 (en) Security enclave device to extend a virtual secure processing environment to a client device
US9768961B2 (en) Encrypted indentifiers in a wireless communication system
JP2018512752A (en) Method and apparatus for user authentication and human intention verification in a mobile device
JP2017126987A (en) Restricted certificate registration for unknown devices in hotspot network
RU2708951C2 (en) Method and device for binding subscriber authentication and device authentication in communication systems
US10630725B2 (en) Identity-based internet protocol networking
US9882894B2 (en) Secure authentication service
JP6595631B2 (en) Content security in the service layer
TWI507005B (en) Virtual subscriber identity module
US7826427B2 (en) Method for secure transfer of data to a wireless device for enabling multi-network roaming
US8335490B2 (en) Roaming Wi-Fi access in fixed network architectures
US8032117B2 (en) Dynamic passing of wireless configuration parameters
US9015473B2 (en) Method and system for automated and secure provisioning of service access credentials for on-line services to users of mobile communication terminals
US7607015B2 (en) Shared network access using different access keys

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee